Recentemente, surgiu uma nova ameaça digital que tem utilizado versões falsas do Telegram X como uma ferramenta para roubar contas e dados pessoais de usuários de Android. Este malware, conhecido como Baohuo, já afetou globalmente mais de 58 mil dispositivos, com o Brasil sendo o segundo país mais atingido, registrando 12 mil vítimas, o que representa 20,5% das infecções mundiais.
De acordo com a empresa de segurança digital Doctor Web, responsável pela descoberta, o Baohuo não se limita apenas a smartphones. Ele também comprometeu cerca de 3 mil modelos diferentes de dispositivos, incluindo tablets, TV boxes e sistemas de infotenimento que operam com Android. O grau de sofisticação deste malware permite que criminosos tomem controle total das contas roubadas no Telegram, sem que as vítimas percebam atividades suspeitas.
A escolha do Brasil como um dos principais alvos não é por acaso. Os cibercriminosos adaptaram templates de sites maliciosos especificamente para o português, criando páginas que imitam lojas de aplicativos. Estas prometem uma versão melhorada do Telegram, orientada para “chats de vídeo gratuitos” e relacionamentos, sendo a principal forma de disseminação do Baohuo no país.
No Brasil, a distribuição do Baohuo segue uma estratégia bem planejada. Criminosos usam anúncios dentro de aplicativos para atrair potenciais vítimas, prometendo uma experiência diferenciada no Telegram X — uma versão experimental e mais veloz do mensageiro. Quando clicam nos banners, os usuários são redirecionados para sites falsos que simulam lojas de aplicativos autênticas, apresentando reviews falsos e capturas de tela manipuladas.
A infiltração do Baohuo também se expande a repositórios legítimos de aplicativos. Encontrado em plataformas como APKPure, ApkSum e AndroidP, o malware se disfarçou como se fosse publicado pelo desenvolvedor oficial, apesar das assinaturas digitais diferentes. Desde seu início, em meados de 2024, a campanha maliciosa sustenta em torno de 20 mil conexões ativas de dispositivos infectados.
O Baohuo representa um marco nas ameaças para Android, com variações que usam técnicas distintas de infiltração. Ele pode incorporar o backdoor diretamente no arquivo executável do Telegram, carregar o código malicioso dinamicamente ou separá-lo em arquivos independentes, carregados durante a execução. Apesar de suas atividades ilícitas, para o usuário, o aplicativo continua a parecer normal.
A verdadeira inovação tecnológica do Baohuo reside em seu sistema de comando e controle. É o primeiro malware para Android documentado que utiliza bancos de dados Redis para receber comandos dos criminosos. Este método, combinado com servidores C2 tradicionais, confere aos atacantes um controle robusto sobre os dispositivos comprometidos.
As capacidades de exfiltração de dados do Baohuo são vastas. Além de interceptar senhas e códigos, ele pode exibir anúncios dentro do aplicativo e realizar atualizações maliciosas. O monitoramento da área de transferência é um dos recursos mais perigosos, capturando automaticamente qualquer conteúdo copiado pelo usuário, com potencial para roubar dados sensíveis.
A detecção de infecção pelo Baohuo é desafiadora devido à sua natureza furtiva. Usuários devem verificar se estão inscritos em canais desconhecidos no Telegram ou se saíram de conversas sem intenção. Presença de dispositivos não autorizados na lista de sessões ativas é um forte indicador de comprometimento.
Para se proteger, recomenda-se baixar o Telegram apenas da Google Play Store oficial ou do site do aplicativo. Usuários que instalaram o aplicativo de fontes não oficiais devem remover o aplicativo, verificar suas listas de dispositivos autorizados e, após reinstalação, ativar a verificação em duas etapas.
