Una versión maliciosa de Telegram infectó alrededor de 60.000 dispositivos Android

La modificación maliciosa del mensajero Telegram X, detectada por los especialistas de Doctor Web, resultó no ser solo una herramienta de espionaje, sino una plataforma totalmente funcional para la toma encubierta de la cuenta de un usuario y el control de sus acciones. El troyano integrado Android.Backdoor.Baohuo.1.origin proporciona a los atacantes acceso ilimitado al mensajero y permite no solo robar mensajes, nombres de usuario, contraseñas e historial de conversaciones, sino también conectarse inadvertidamente a la cuenta, sustituir la lista de dispositivos autorizados y ocultar su actividad.

Con él, los atacantes también pueden gestionar las suscripciones a canales, unirse a chats y controlar otras funciones de Telegram en nombre de la víctima. Todo esto convierte a Baohuo en una herramienta conveniente para promocionar canales y llevar a cabo ataques dirigidos.

La campaña de infección comenzó a mediados de 2024, y el número total de dispositivos comprometidos superó los 58 000. Para su difusión se emplean sitios falsos estilizados como catálogos de aplicaciones, donde el troyano se hace pasar por Telegram X. Allí se ofrece al usuario instalar un mensajero para videollamadas y citas, publicando reseñas y capturas de pantalla falsas.

Estos sitios están orientados a usuarios de Brasil e Indonesia, y en los banners publicitarios se utiliza una traducción simplificada solo a esos dos idiomas. Sin embargo, la infección afectó a una amplia gama de dispositivos —desde teléfonos inteligentes hasta sistemas automotrices con Android.

Además de páginas de phishing, la versión maliciosa de Telegram X también se alojó en tiendas de aplicaciones de terceros, incluyendo APKPure, ApkSum y AndroidP. En el caso de APKPure, el troyano se publicó en nombre del desarrollador real, aunque la firma digital era diferente. Los especialistas ya notificaron a las plataformas sobre la existencia de versiones infectadas.

Los investigadores identificaron tres tipos principales de modificaciones: con inyección en el archivo ejecutable principal, con carga a través de LSPatch y con un archivo DEX separado colocado en los recursos de la aplicación. Independientemente de la variante, el troyano se activa al iniciar el mensajero y no interfiere con su funcionamiento, preservando la apariencia del Telegram X original. El código malicioso puede suplantar métodos del mensajero o introducir nuevas funciones mediante Xposed. Por ejemplo, es capaz de falsificar ventanas con mensajes de phishing, ocultar chats y dispositivos específicos, y también interceptar el contenido del portapapeles.

Los especialistas prestaron especial atención al sistema de control poco convencional. Además del habitual servidor C2, Android.Backdoor.Baohuo.1.origin recibe comandos a través de la base de datos Redis — este es el primer caso registrado de uso de esta tecnología en amenazas para Android. A través de Redis se transmiten configuraciones, comandos e información sobre los dispositivos infectados. Además, se dispone de un canal de respaldo para la transmisión de comandos a través de C2 en caso de que la base de datos no esté disponible.

El troyano es capaz de realizar una amplia gama de tareas: enviar contactos y SMS, descargar el historial de mensajes, obtener listas de dispositivos y tokens de autenticación, suscribirse a canales, desactivar notificaciones de chats, sustituir elementos de la interfaz, descargar actualizaciones e incluso convertir el dispositivo infectado en un servidor proxy.

Una amenaza particular es la capacidad de interceptar texto desde el portapapeles, ya que en él pueden aparecer contraseñas, frases de recuperación de billeteras criptográficas y otros datos confidenciales.

Por tanto, el uso de aplicaciones populares fuera de tiendas oficiales puede acabar en la pérdida total del control sobre datos personales y cuentas, especialmente cuando el código malicioso se hace pasar por una interfaz conocida y funciona sin ser detectado por el propietario del dispositivo. Instale aplicaciones solo desde fuentes oficiales y revise regularmente sus permisos para evitar la infección.