O vulnerabilitate zero-day a Telegram pentru Android, denumită ‘EvilVideo’, a permis atacatorilor să trimită încărcături maligne APK Android mascate ca fișiere video.
Un actor de amenințare numit ‘Ancryno’ a început inițial să vândă exploit-ul zero-day al Telegram pe 6 iunie 2024, într-o postare pe forumul de hacking XSS vorbitor de limba rusă, afirmând că defectul exista în Telegram v10.14.4 și versiunile mai vechi.
Cercetătorii ESET au descoperit defectul după ce o demonstrație PoC a fost distribuită pe un canal public de Telegram, permițându-le să obțină încărcătura malignă.
ESET a confirmat că exploit-ul a funcționat în Telegram v10.14.4 și versiunile mai vechi și l-a numit ‘EvilVideo’. Cercetătorul ESET Lukas Stefanko a raportat responsabil defectul către Telegram pe 26 iunie și din nou pe 4 iulie 2024.
Telegram a răspuns pe 4 iulie, afirmând că investighează raportul și apoi a remediat vulnerabilitatea în versiunea 10.14.5, lansată pe 11 iulie 2024.
Aceasta înseamnă că actorii de amenințare au avut cel puțin cinci săptămâni pentru a exploata zero-day-ul înainte ca acesta să fie remediat.
Deși nu este clar dacă defectul a fost exploatat activ în atacuri, ESET a distribuit un server de comandă și control (C2) folosit de încărcăturile la ‘infinityhackscharan.ddns[.]net’.
BleepingComputer a găsit două fișiere APK maligne care folosesc acel C2 pe VirusTotal [1, 2] și pretind a fi Avast Antivirus sau un ‘xHamster Premium Mod’.
Defectul zero-day EvilVideo funcționa doar în Telegram pentru Android și permitea atacatorilor să creeze fișiere APK special concepute care, atunci când erau trimise altor utilizatori pe Telegram, apăreau ca videoclipuri încorporate.
ESET crede că exploit-ul folosește API-ul Telegram pentru a crea programatic un mesaj care pare să arate un videoclip de 30 de secunde.
În setarea sa implicită, aplicația Telegram pentru Android descarcă automat fișierele media, astfel încât participanții la canal primesc încărcătura pe dispozitivul lor odată ce deschid conversația.
Pentru utilizatorii care au dezactivat descărcarea automată, o singură apăsare pe previzualizarea videoclipului este suficientă pentru a iniția descărcarea fișierului.
Când utilizatorii încearcă să reda videoclipul fals, Telegram sugerează să folosească un player extern, ceea ce poate determina destinatarii să apese butonul ‘Deschide’ și să execute încărcătura.
În continuare, este necesar un pas suplimentar: victima trebuie să activeze instalarea aplicațiilor necunoscute din setările dispozitivului, permițând fișierului APK malign să se instaleze pe dispozitiv.
Deși actorul de amenințare susține că exploit-ul este ‘cu un clic’, faptul că necesită mai multe clicuri, pași și setări specifice pentru ca o încărcătură malignă să fie executată pe dispozitivul unei victime reduce semnificativ riscul unui atac reușit.
ESET a testat exploit-ul pe clientul web al Telegram și Telegram Desktop și a constatat că acesta nu funcționează acolo deoarece încărcătura este tratată ca un fișier video MP4.
Remediul Telegram în versiunea 10.14.5 afișează acum corect fișierul APK în previzualizare, astfel încât destinatarii să nu mai poată fi înșelați de ceea ce ar părea a fi fișiere video.
Dacă ați primit recent fișiere video care solicitau o aplicație externă pentru redare prin Telegram, efectuați o scanare a sistemului de fișiere folosind un set de securitate mobil pentru a localiza și elimina încărcăturile de pe dispozitivul dvs.
În mod obișnuit, fișierele video Telegram sunt stocate în ‘/storage/emulated/0/Telegram/Telegram Video/’ (stocare internă) sau în ‘/storage/
ESET a distribuit un videoclip care demonstrează exploit-ul zero-day al Telegram, care poate fi vizionat mai jos.
Zero-day-ul Windows MSHTML folosit în atacuri malware timp de peste un an
Microsoft Patch Tuesday din iulie 2024 rezolvă 142 de defecte, inclusiv 4 zero-day-uri
Telefoanele seriei Google Pixel 6 blocate după resetarea la setările din fabrică
Rafel RAT vizează telefoane Android învechite în atacuri ransomware
Noile variante de malware Medusa vizează utilizatorii Android din șapte țări
Leave a Reply