كشف باحثون في شركة Dr.Web عن باب خلفي متطور يعرف باسم Android.Backdoor.Baohuo.1.origin، مدمج في نسخ مزيفة من تطبيق Telegram X، يتيح للمهاجمين السيطرة الكاملة على حسابات المستخدمين وتنفيذ أوامر خبيثة دون اكتشافها.
يوزع البرنامج الخبيث عبر إعلانات مضللة داخل تطبيقات مختلفة وعبر متاجر تطبيقات خارجية، ويتنكر في صورة تطبيقات للمواعدة أو الدردشة. وتشير الإحصاءات إلى إصابة أكثر من 58 ألف جهاز، تشمل نحو 3000 طراز من الهواتف الذكية والأجهزة اللوحية وحتى أنظمة السيارات المعتمدة على Android.
بدأت الحملة في منتصف عام 2024 مستهدفة بالدرجة الأولى مستخدمي البرازيل وإندونيسيا من خلال واجهات ولغات مصممة خصيصاً لهذين السوقين. ويواجه المستخدمون إعلانات داخل التطبيقات توجههم إلى مواقع مزيفة تدّعي تقديم تطبيقات محادثة مجانية أو فرصاً للتعارف بالفيديو. تظهر هذه المواقع مراجعات وهمية وترويجاً مضللاً قبل أن تقدم ملفات APK مزيفة يصعب تمييزها عن النسخ الرسمية من Telegram X.
التسلل إلى المتاجر الخارجية وتوسيع الانتشار
لم تقتصر الحملة على المواقع الاحتيالية فقط، إذ اكتشف الباحثون نسخاً من التطبيق الخبيث منشورة في متاجر معروفة مثل APKPure وApkSum وAndroidP، تحت اسم مطور Telegram الرسمي رغم اختلاف التوقيع الرقمي.
وبحسب تحليل Dr.Web، يتمتع الباب الخلفي بقدرات متقدمة لسرقة المعلومات الحساسة مثل بيانات تسجيل الدخول وكلمات المرور وسجل المحادثات بالكامل. وإخفاء أي إشارات تدل على اختراق الحساب، مثل الأجهزة المتصلة حديثاً، من قائمة الجلسات النشطة في Telegram.
كما يمكنه الانضمام إلى القنوات والمحادثات وإضافة أو إزالة مستخدمين دون علم صاحب الحساب، محولاً الحسابات المخترقة إلى أدوات لزيادة أعداد المشتركين في قنوات Telegram المزيفة.
استخدام قاعدة Redis في التحكم بالهجوم
تتميز هذه البرمجية عن التهديدات التقليدية بكونها أول حالة موثقة لاستخدام قاعدة البيانات Redis كآلية للتحكم والسيطرة على البرمجية. كانت الإصدارات السابقة تعتمد على خوادم C2 التقليدية فقط، لكن مطوريها أضافوا مع الوقت إمكانات الاتصال عبر Redis لتلقي الأوامر وتحديث الإعدادات عن بعد مع الحفاظ على الخوادم الاحتياطية.
عند التثبيت، يتصل الباب الخلفي بخادم القيادة والسيطرة للحصول على الإعدادات، بما في ذلك بيانات الدخول إلى Redis، ما يسمح للمهاجمين بإرسال الأوامر وتغيير السلوكيات متى أرادوا.
آليات تحكم متقدمة وسرقة بيانات منهجية
تعتمد البرمجية على أساليب متعددة للتلاعب بوظائف تطبيق المراسلة دون أن يشعر المستخدم. فبالنسبة للعمليات التي لا تتعارض مع وظائف التطبيق الأساسية، يستخدم المهاجمون ما يسمى بالنسخ العاكسة لأساليب Telegram X، وهي أجزاء برمجية منفصلة مسؤولة عن تنفيذ مهام محددة داخل بنية Android. تسمح هذه الطريقة بعرض رسائل تصيد ضمن نوافذ تبدو مطابقة لواجهة Telegram الأصلية.
أما في العمليات التي تتطلب دمجاً أعمق، فتستعين البرمجية بإطار Xposed لتعديل أساليب التطبيق أثناء التشغيل، ما يمنحها القدرة على إخفاء محادثات معينة أو إخفاء الأجهزة المصرح بها أو اعتراض محتوى الحافظة Clipboard.
من خلال قنوات Redis وخوادم C2، تتلقى البرمجية أوامر تشمل تحميل رسائل SMS وجهات الاتصال ومحتوى الحافظة في كل مرة يقوم المستخدم بتصغير التطبيق أو فتحه مجدداً. ويتيح ذلك للمهاجمين سرقة كلمات مرور محافظ العملات الرقمية والعبارات المفتاحية والمراسلات التجارية الحساسة.
كما تجمع البرمجية معلومات تفصيلية عن الجهاز والتطبيقات المثبتة وسجلات الرسائل والرموز المميزة للمصادقة، وترسلها إلى المهاجمين كل ثلاث دقائق، مع الحفاظ على مظهر تشغيل طبيعي لتطبيق Telegram X حتى لا يثير الشكوك.
تهديد متطور يستدعي تدخل المستخدمين والجهات الأمنية
يحذر الباحثون من أن Android.Backdoor.Baohuo.1.origin يمثل تطوراً نوعياً في الهجمات على تطبيقات التواصل، إذ يدمج بين أساليب التجسس المتقدمة وآليات التحكم التفاعلية التي تجعل اكتشافه بالغ الصعوبة. وينصح المستخدمون بعدم تحميل Telegram X أو أي تطبيق مراسلة من مصادر غير رسمية، وإجراء فحص أمني دوري للأجهزة باستخدام حلول موثوقة، إضافة إلى مراجعة الجلسات النشطة في الحسابات لتحديد أي نشاط مشبوه.
