لبنان اليوم

تم اكتشاف “android.Backdoor.Baohuo.1.origin”، وهو باب خلفي متطور، داخل نسخ خبيثة معدلة من تطبيق “Telegram X”. يمنح هذا الباب الخلفي المهاجمين سيطرة كاملة على حسابات الضحايا بشكل خفي.

يتسلل هذا التروجان عبر إعلانات مضللة داخل التطبيقات ومتاجر الطرف الثالث، متنكراً في هيئة منصات مواعدة وتواصل “شرعية”.

كشف تحليل Dr.Web أن أكثر من 58 ألف جهاز قد أصيبت منذ منتصف عام 2024.

توزعت الإصابات على نحو 3 آلاف طراز تشمل هواتف ذكية وأجهزة لوحية وصناديق تلفاز وأنظمة مركبات تعمل بنظام أندرويد.

استهدف الهجوم في البداية مستخدمين في البرازيل وإندونيسيا عبر قوالب باللغتين البرتغالية والإندونيسية.

يواجه الضحايا إعلانات تعيد توجيههم إلى كتالوجات تطبيقات مزيفة تحمل آراء ترويجية وهمية تعد بـ “مكالمات فيديو مجانية” وفرص مواعدة، وتقدم ملفات APK محملة بأحصنة طروادة تبدو مطابقة لتثبيتات “Telegram X” الشرعية.

كما تسرب الباب الخلفي إلى مستودعات خارجية مثل “APKPure” و”ApkSum” و”AndroidP”، حيث نُشر بشكل مضلل تحت اسم مطور التطبيق الرسمي على الرغم من اختلاف التواقيع الرقمية.

تمكن المحللون من رصد قدرة الباب الخلفي على سرقة بيانات اعتماد الدخول وكلمات المرور وسجلات الدردشة بالكامل.

كما يقوم بإخفاء اتصال الأجهزة المخترقة من قوائم الجلسات النشطة في “Telegram”، وإضافة/إزالة مستخدمين من القنوات أو الانضمام إلى الدردشات نيابة عن الضحايا، وتحويل الحسابات إلى أدوات لتضخيم أعداد المشتركين بشكل مصطنع.

يتميز “Android.Backdoor.Baohuo.1.origin” باستخدام قاعدة بيانات Redis لعمليات القيادة والتحكم (C2) – وهو أول توثيق معروف لهذا الأسلوب ضمن برمجيات أندرويد الخبيثة.

بعد الاتصال بخادم C2 التقليدي، يسترجع التروجان معلمات التهيئة، بما في ذلك بيانات اعتماد Redis لإصدار الأوامر وتحديث الإعدادات عن بُعد، مع الحفاظ على تكرار خادم C2.

يتلاعب الباب الخلفي بوظائف المراسلة بطرق متعددة دون لفت الانتباه.

عند العمليات التي لا تمس جوهر التطبيق، يستخدم “نسخاً طبق الأصل” مُجهزة مسبقاً لأساليب المراسلة لعرض رسائل تصيد ضمن نوافذ تحاكي واجهات “Telegram X” الأصلية.

وللمهام الأعمق، يستفيد من إطار Xposed لتعديل الأساليب ديناميكياً، مما يتيح إخفاء محادثات وأجهزة مصرح بها واعتراض محتويات الحافظة.

عبر قنوات Redis وخوادم C2، يتلقى التروجان أوامر تشمل رفع رسائل SMS وجهات الاتصال ومحتوى الحافظة كلما قام المستخدم بتصغير نافذة المراسلة أو إعادتها.

توفر مراقبة الحافظة سيناريوهات سرقة معقدة لكلمات مرور محافظ العملات المشفرة أو العبارات التذكيرية والاتصالات الحساسة.

يجمع البرمج الخبيث معلومات الجهاز والتطبيقات المثبتة وسجلات الرسائل ورموز المصادقة بشكل منهجي، وينقلها للمهاجمين كل ثلاث دقائق مع الحفاظ على مظهر تشغيل طبيعي للتطبيق.