Malware Baohuo: vírus Android que rouba contas do Telegram coloca o Brasil entre os países mais afetados

Um novo episódio de ciberataques a dispositivos móveis ganhou destaque global após a identificação do Baohuo, um malware direcionado a smartphones e outros aparelhos que utilizam o sistema operacional Android. Distribuído por versões falsificadas do aplicativo Telegram X, o programa nocivo já atingiu pelo menos 58 mil usuários em diversos países. Segundo dados levantados pela empresa de segurança Doctor Web, o Brasil concentra 20,5% das infecções, ficando atrás apenas da Índia no ranking mundial de comprometimentos. Quase 12 mil terminais brasileiros passaram a operar, sem o conhecimento de seus donos, como pontos de coleta de credenciais, mensagens e informações pessoais.

Origem da ameaça e primeiro contato com a vítima

O ponto de partida para a maioria das contaminações é uma versão adulterada do Telegram X, aplicativo que serve como laboratório de testes para funções que posteriormente podem chegar ao mensageiro principal. O arquivo malicioso circula em anúncios enganosos na internet, geralmente direcionados a pessoas interessadas em plataformas de relacionamento. Ao clicarem na propaganda, os usuários são levados a um site que oferece o download do pacote APK. A fraude também se espalha por lojas de aplicativos de terceiros, como APKPure, AndroidP e ApkSum, onde o Baohuo é apresentado como se tivesse sido publicado pelo desenvolvedor legítimo do serviço.

Esse cenário cria um senso de autenticidade que favorece a instalação. Uma vez concluído o processo, o aplicativo parece funcionar normalmente, reproduzindo a interface e os recursos típicos do Telegram X. A aparência legítima reduz a desconfiança e permite que o vírus permaneça ativo por longos períodos, enquanto executa suas rotinas de espionagem e controle em segundo plano.

Arquitetura avançada de backdoor

O Baohuo foi classificado pelos pesquisadores como um dos backdoors mais sofisticados observados no universo Android em 2025. Sua arquitetura inclui vários módulos capazes de se comunicar com servidores remotos e de receber comandos de forma dinâmica. Entre as particularidades apontadas está a integração com banco de dados Redis para a recepção de instruções—a primeira vez que esse mecanismo é documentado em malwares desse ecossistema. A utilização de Redis amplia a flexibilidade do atacante e complica os processos tradicionais de detecção, pois o fluxo de dados pode se disfarçar em requisições corriqueiras.

Quando ativado, o software mal-intencionado obtém acesso completo à conta de Telegram cadastrada no aparelho. Ele exibe conversas, contatos e listas de sessões ativas, assumindo controle sobre os diálogos a ponto de criar, excluir ou alterar canais sem deixar vestígios para o verdadeiro titular. O Baohuo ainda oculta logins não autorizados, reduzindo a chance de a vítima notar movimentações suspeitas.

Coleta e exfiltração de dados sensíveis

A operação do vírus não se limita ao mensageiro. De forma silenciosa, ele vasculha o sistema em busca de SMS, lista de contatos, chaves de criptografia e outras informações armazenadas no dispositivo. Dados transferidos pela área de transferência—como senhas, frases de recuperação e endereços de carteiras de criptomoedas—também são copiados e enviados a servidores externos. Essa funcionalidade é reforçada pelo uso de rotinas que monitoram a atividade do usuário em tempo real, possibilitando a captura imediata de dados digitados ou copiados.

Para perpetuar o ciclo de controle, o aplicativo manipula notificações, exibindo pop-ups de atualização falsos que encaminham o proprietário a páginas adicionais de phishing. Nesses portais, novas permissões podem ser solicitadas ou outros aplicativos nocivos podem ser oferecidos, expandindo a superfície de ataque e facilitando a tomada total do aparelho.

Alcance geográfico e distribuição de casos

A análise estatística conduzida pelos especialistas revela um panorama geográfico bem delineado. Dos 58 mil dispositivos comprometidos, 22,8% pertencem a usuários da Índia, liderando o ranking. O Brasil surge imediatamente depois, com 20,5%, o que equivale a quase 12 mil terminais. Indonésia aparece em seguida, respondendo por 9,6% das contaminações, enquanto Egito e Argélia figuram com 5,5% e 4,0%, respectivamente. Esses números deixam claro que a campanha tem foco especial em mercados emergentes, onde a prática de baixar aplicativos fora da loja oficial do Google é mais comum por questões de acessibilidade ou custo.

O relatório mostra, ainda, que o Baohuo não se limita a smartphones. Tablets, set-top boxes e sistemas automotivos baseados em Android também apresentaram sinais de infecção, ampliando o impacto potencial para ambientes domésticos e corporativos que eventualmente conectam esses aparelhos à mesma rede.

Impacto no cotidiano digital do usuário

A perda de controle sobre a conta do Telegram pode gerar consequências diretas e indiretas. Mensagens privadas podem ser utilizadas para extorsão ou para espalhar novos links maliciosos, aproveitando a confiança dos contatos da vítima. O acesso a grupos e canais possibilita o envio de conteúdo fraudulento em larga escala, elevando o dano coletivo. Já a coleta de SMS compromete códigos de autenticação de dois fatores, abrindo portas para invasões adicionais a serviços bancários, redes sociais ou plataformas de compras online.

Outro ponto de atenção é o roubo de informações relacionadas a criptomoedas. A possibilidade de capturar endereços de carteiras ou frases de recuperação coloca em risco ativos financeiros armazenados digitalmente. Caso o atacante consiga transferir fundos, as chances de reaver o valor são reduzidas, dada a natureza descentralizada desses sistemas.

Formas de infecção e elementos de engenharia social

O sucesso da campanha deriva, em grande parte, da combinação entre engenharia social e distribuição fora da Google Play Store. A promessa de um mensageiro de relacionamento, aliado ao nome reconhecido do Telegram, cria um argumento persuasivo para novos downloads. Anúncios que imitam layouts profissionais incrementam a credibilidade, e as lojas alternativas reforçam a percepção de legitimidade ao exibir dados de desenvolvedor compatíveis com o aplicativo original.

A decisão de hospedar o APK fora dos domínios controlados pelo Google impede a verificação do Play Protect, camada nativa de proteção do Android. Dessa forma, o Baohuo contorna várias barreiras técnicas e alcança usuários que, muitas vezes, não adotam soluções antivírus adicionais em seus aparelhos.

Dicas de prevenção recomendadas pelos especialistas

A orientação principal é instalar aplicativos apenas pela Google Play Store, onde processos automatizados de análise reduzem a probabilidade de programas maliciosos chegarem ao público. Além disso, é fundamental evitar o clique em links desconhecidos recebidos por e-mail, redes sociais ou anúncios duvidosos. Manter um software de segurança atualizado oferece uma segunda camada de proteção, capaz de detectar comportamentos suspeitos mesmo após a instalação.

Usuários que já utilizam versões modificadas de mensageiros devem considerar a migração imediata para as edições oficiais. Outra prática recomendada é revisar periodicamente as permissões concedidas a cada app, desativando autorizações de acesso a SMS, contatos ou armazenamento sempre que não forem estritamente necessárias.

Panorama final do risco no Brasil

Com quase 12 mil aparelhos afetados, o Brasil figura no radar dos operadores do Baohuo como um terreno fértil para fraudes digitais. A popularidade do Telegram, somada ao interesse crescente por soluções de relacionamento online e à oferta abundante de lojas de aplicativos paralelas, cria um ambiente em que a distribuição do malware tende a prosperar. Em meio a esses fatores, a conscientização do usuário permanece como a principal ferramenta de contenção, reforçando a necessidade de práticas básicas de higiene digital para minimizar a exposição a novas variantes do mesmo golpe.