Уязвимость нулевого дня в Telegram позволяла отправлять вредоносные APK-файлы под видом видео

2024-07-23 2587 комментарии
Уязвимость «EvilVideo» в Telegram для Android позволяла отправлять вредоносные APK-файлы под видом видео. Эксплойт, обнаруженный ESET, продавался на хакерском форуме и эксплуатировался до выпуска исправления 11 июля 2024 года

Уязвимость нулевого дня в приложении Telegram для Android, получившая название «EvilVideo», позволяла злоумышленникам отправлять вредоносные APK-файлы для Android, замаскированные под видео.

Злоумышленник с ником Ancryno начал продавать эксплойт нулевого дня для Telegram 6 июня 2024 года. В сообщении на русскоязычном хакерском форуме XSS он заявил, что уязвимость существует в версиях Telegram v10.14.4 и старше.

Исследователи ESET обнаружили уязвимость после того, как на публичном канале Telegram было продемонстрировано «доказательство концепции» (PoC, Proof of Concept), что позволило получить вредоносный файл.

Инженеры ESET подтвердили, что эксплойт работает в версиях Telegram v10.14.4 и старше, и назвали его «EvilVideo». Исследователь ESET Лукас Стефанко (Lukas Stefanko) сообщил об уязвимости в Telegram 26 июня и повторно 4 июля 2024 года.

Представители Telegram ответили 4 июля,что изучают отчет, а 11 июля 2024 года в версии 10.14.5 вышло исправление уязвимости.

Таким образом, у злоумышленников было как минимум пять недель для эксплуатации уязвимости до ее исправления.

Хотя неясно, использовалась ли уязвимость активно в реальных атаках, ESET поделилась сервером команд и управления (C2), использованным вредоносными файлами, на «infinityhackscharan.ddns[.]net».

Портал BleepingComputer обнаружил два вредоносных APK-файла, использующих этот C2 на VirusTotal [12], которые выдавали себя за Avast Antivirus или «xHamster Premium Mod».

Уязвимость нулевого дня в Telegram

Уязвимость EvilVideo работала только в Telegram для Android и позволяла злоумышленникам создавать специально сформированные APK-файлы, которые при отправке другим пользователям Telegram выглядели как встроенные видео.

ESET считает, что эксплойт использует API Telegram для программного создания сообщения, которое выглядит как 30-секундное видео.

В настройках по умолчанию приложение Telegram на Android автоматически загружает медиафайлы, поэтому участники канала получают вредоносный файл на свое устройство, как только открывают разговор.

Для пользователей, которые отключили автоматическую загрузку, достаточно одного нажатия на превью видео, чтобы инициировать загрузку файла.

Когда пользователи пытаются воспроизвести фальшивое видео, Telegram предлагает использовать внешний проигрыватель, что может привести к тому, что получатели нажмут кнопку «Открыть» и выполнят вредоносную загрузку.

Затем потребуется дополнительный шаг: жертва должна разрешить установку неизвестных приложений в настройках устройства, что позволяет установить вредоносный APK-файл на устройство.

Хотя злоумышленник утверждает, что эксплойт является «однокликовым», факт наличия множества шагов и специфических настроек для выполнения вредоносного файла на устройстве жертвы значительно снижает риск успешной атаки.

ESET проверила эксплойт на веб-клиенте Telegram и Telegram Desktop и обнаружила, что он там не работает, поскольку вредоносный файл рассматривается как MP4-видео.

Обновленная версия Telegram 10.14.5 теперь корректно отображает APK-файл в превью, поэтому обмануть пользователей больше не получится.

Если вы недавно получили видеофайлы, которые предлагали использовать внешнее приложение для воспроизведения через Telegram, выполните сканирование файловой системы с помощью мобильного антивируса, чтобы найти и удалить вредоносные файлы с вашего устройства.

Обычно видеофайлы Telegram хранятся по пути в /storage/emulated/0/Telegram/Telegram Video/ (внутренняя память) или в /storage//Telegram/Telegram Video/ (внешняя память).

Компания ESET также поделилась видео, демонстрирующим уязвимость нулевого дня в Telegram.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте