اكتُشف بابٌ خلفي متطوّر باسم android.Backdoor.Baohuo.1.origin داخل إصدارات مُعدّلة خبيثًا من تطبيق Telegram X، يمنح المهاجمين سيطرةً كاملة على حسابات الضحايا بينما يعمل في الخفاء. يتسلّل التروجان عبر إعلانات خادعة داخل التطبيقات ومتاجر طرف ثالث، متنكرًا في هيئة منصّات مواعدة وتواصل “شرعية”.

يكشف تحليل Dr.Web أن أكثر من 58 ألف جهاز أُصيبت منذ منتصف 2024، موزّعة على نحو 3 آلاف طراز تشمل هواتف ذكية وأجهزة لوحية وصناديق تلفاز وأنظمة مركبات تعمل بأندرويد، مع استهدافٍ أوليّ لمستخدمين في البرازيل وإندونيسيا عبر قوالب باللغتين البرتغالية والإندونيسية. ويواجه الضحايا إعلانات تُعيد توجيههم إلى كتالوجات تطبيقات مزيفة بآراء ترويجية وهمية تعد بـ“مكالمات فيديو مجانية” وفرص مواعدة، لتوفّر ملفات APK محمّلة بأحصنة طروادة تبدو مطابقة لتثبيتات Telegram X الشرعية.

كما تسرّب الباب الخلفي إلى مستودعات خارجية بينها APKPure وApkSum وAndroidP، حيث نُشر بشكل مضلل تحت اسم مطوّر التطبيق الرسمي رغم اختلاف التواقيع الرقمية. وتمكّن محلّلون من رصد قدرته على سرقة بيانات اعتماد الدخول وكلمات المرور وسجلات الدردشة بالكامل، مع إخفاء اتصال الأجهزة المخترِقة من قوائم الجلسات النشطة في تيليغرام، وإضافة/إزالة مستخدمين من القنوات أو الانضمام للدردشات نيابة عن الضحايا، وتحويل الحسابات إلى أدوات لنفخ أعداد المشتركين اصطناعيًا.

يمتاز Android.Backdoor.Baohuo.1.origin باستخدام قاعدة بيانات Redis لعمليات القيادة والتحكّم (C2) — في أوّل توثيق معروف لهذا الأسلوب ضمن برمجيات أندرويد الخبيثة. وبعد الاتصال بخادم C2 التقليدي، يسترجع التروجان معلمات التهيئة بما فيها بيانات اعتماد Redis لإصدار الأوامر وتحديث الإعدادات عن بُعد، مع الإبقاء على تكرار خادم C2.

يتلاعب الباب الخلفي بوظائف المراسلة بطرائق متعددة دون لفت الانتباه. فعند العمليات التي لا تمس جوهر التطبيق، يستخدم “نسخًا طبق الأصل” مُجهزة مسبقًا لأساليب المراسلة لعرض رسائل تصيّد ضمن نوافذ تُحاكي واجهات Telegram X الأصلية. وللمهام الأعمق، يستفيد من إطار Xposed لتعديل الأساليب ديناميكيًا، ما يتيح إخفاء محادثات وأجهزة مصرح بها واعتراض محتويات الحافظة.

عبر قنوات Redis وخوادم C2، يتلقى التروجان أوامر تشمل رفع رسائل SMS وجهات الاتصال ومحتوى الحافظة كلما صغّر المستخدم نافذة المراسلة أو أعادها. وتوفّر مراقبة الحافظة سيناريوهات سرقة معقّدة لكلمات مرور محافظ العملات المشفّرة أو العبارات التذكيرية والاتصالات الحسّاسة. ويجمع البرمج الخبيث معلومات الجهاز والتطبيقات المثبّتة وسجلات الرسائل ورموز المصادقة بشكل منهجي، وينقلها للمهاجمين كل ثلاث دقائق مع الحفاظ على مظهر تشغيل طبيعي للتطبيق.