Android-Backdoor übernimmt 58.000 Telegram-Konten

Cyberkriminelle haben eine neue Android-Schadsoftware entwickelt, die vollständige Kontrolle über Telegram-Accounts übernimmt. Die als Android.Backdoor.Baohuo.1.origin bezeichnete Malware verbreitet sich über gefälschte Telegram X-Apps und hat bereits mehr als 58.000 Geräte weltweit infiziert.

Das Sicherheitsunternehmen Doctor Web warnt vor einem bedeutenden Fortschritt bei mobiler Schadsoftware. Die Malware nutzt erstmals eine Redis-Datenbank als Kommandozentrale – eine völlig neue Methode bei Android-Bedrohungen. Die Kampagne startete Mitte 2024 und lockt Nutzer mit erweiterten Funktionen, um dann deren digitale Kommunikation zu übernehmen.

Perfide Täuschung durch gefälschte Apps

Die Angreifer nutzen ausgeklügelte Social-Engineering-Techniken. Sie bewerben die Schadsoftware in alternativen App-Stores und über Online-Werbung als verbesserte Telegram X-Version mit Dating-Funktionen. Die Anzeigen führen zu gefälschten Webseiten, die offiziellen App-Katalogen täuschend ähnlich sehen – inklusive falscher Nutzerbewertungen und Screenshots nicht existierender Video-Call-Features.

Besonders auffällig: Die Kampagne zielt gezielt auf Brasilien und Indonesien ab. Die betrügerischen Werbetemplates wurden ins Portugiesische und Indonesische übersetzt. Nach der Installation funktioniert die App scheinbar normal, während sie im Hintergrund Verbindung zu Kommandoservern aufbaut und das Telegram-Konto übernimmt.

Das Ausmaß der Infektion ist beträchtlich: Etwa 3.000 verschiedene Android-Gerätemodelle sind betroffen, darunter Smartphones, Tablets, TV-Boxen und sogar Android-basierte Fahrzeugsysteme.

Vollständige Kontrollübernahme ohne Spuren

Baohuo gewährt Angreifern beispiellosen Zugriff auf kompromittierte Geräte. Die Malware stiehlt Login-Daten, Chat-Verläufe, Kontakte und SMS-Nachrichten. Besonders heimtückisch: Sie kann ihre eigenen Spuren verwischen, indem sie nicht autorisierte Geräteanmeldungen aus der Liste aktiver Sitzungen entfernt.

Der durchschnittliche Nutzer bemerkt die Kontoübernahme praktisch nie. Die Schadsoftware verwaltet Accounts eigenständig – sie tritt Kanälen bei, verlässt sie wieder oder fügt Nutzer hinzu, alles ohne Wissen des Besitzers. Diese Funktion dient dazu, Abonnentenzahlen bestimmter Telegram-Kanäle künstlich zu erhöhen.

Zusätzlich nutzt die Malware das Xposed-Framework, um App-Verhalten während der Laufzeit zu manipulieren. Sie kopiert Daten aus der Zwischenablage – möglicherweise Passwörter oder Kryptowallet-Seed-Phrasen. Gefälschte Update-Pop-ups leiten Nutzer zu weiteren Schadseiten weiter.

Redis-Innovation macht Angriffe robuster

Das technisch Bemerkenswerteste an Baohuo ist die Kommandostruktur. Anders als die meisten Android-Schadsoftware kommuniziert sie direkt über eine Redis-Datenbank statt über herkömmliche Webserver. Doctor Web dokumentiert dies als ersten Fall einer Android-Bedrohung mit diesem In-Memory-Datenbanksystem.

Diese innovative Herangehensweise macht die Angreiferoperationen widerstandsfähiger und zentral verwaltbar. Befehle können effizient an große Mengen infizierter Geräte gesendet werden. Falls primäre Kommandoserver offline gehen, dient Redis als zuverlässiges Backup.

Die über Redis gesendeten Befehle können die Malware anweisen, private Daten hochzuladen, Werbung zu schalten, Updates herunterzuladen oder detaillierte Geräteinformationen zu sammeln.

Neue Bedrohungswelle für Android-Nutzer

Baohuo ist Teil einer Welle zunehmend ausgeklügelter Android-Bedrohungen. Parallel entdeckten Universitätsforscher den “Pixnapping”-Angriff (CVE-2025-48561), bei dem schädliche Apps sensible Informationen wie 2FA-Codes pixel für pixel vom Bildschirm stehlen – ohne besondere Berechtigungen zu benötigen.

Zusätzlich ist die “GhostBat RAT” in Indien aktiv. Diese Schadsoftware tarnt sich als offizielle Regierungs-Apps und verbreitet sich über WhatsApp- und SMS-Phishing. Sie verwendet gefälschte Overlays, um Bankdaten zu erbeuten und fängt Zwei-Faktor-Authentifizierungscodes ab.

Diese gleichzeitigen Bedrohungen zeigen: Angreifer diversifizieren ihre Methoden – von heimlicher Datenextraktion bis hin zu vollständigen Konto- und Geräteübernahmen.

Schutz vor raffinierten Angriffen

Das Aufkommen von Baohuo unterstreicht die kontinuierliche Innovation von Cyberkriminellen. Sicherheitsexperten betonen grundlegende digitale Hygienemaßnahmen: Apps ausschließlich aus offiziellen Quellen wie Google Play Store installieren und bei Software aus Online-Werbung oder unerwünschten Nachrichten skeptisch bleiben.
Anzeige: Übrigens: Wer sich vor genau solchen Android-Angriffen schützen möchte, sollte 5 einfache Maßnahmen kennen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Smartphone ohne teure Zusatz-Apps absichern – inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Updates, damit WhatsApp, Online‑Banking & Co. besser geschützt sind. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Regelmäßige Updates des Android-Systems und aller installierten Apps sind entscheidend für aktuelle Sicherheitspatches. Die Überprüfung von App-Berechtigungen vor und nach der Installation kann verdächtiges Verhalten aufdecken.

Angesichts der Raffinesse dieser neuen Bedrohungen, die bewusst im Verborgenen operieren, müssen Nutzer wachsam bleiben. Die kontinuierliche Entwicklung von Schadsoftware, die traditionelle Sicherheitsmaßnahmen umgeht, signalisiert einen dauerhaften Kampf um mobile Sicherheit.