Уязвимость нулевого дня в приложении Telegram для Android, получившая название «EvilVideo», позволяла злоумышленникам отправлять вредоносные APK-файлы для Android, замаскированные под видео.
Злоумышленник с ником Ancryno начал продавать эксплойт нулевого дня для Telegram 6 июня 2024 года. В сообщении на русскоязычном хакерском форуме XSS он заявил, что уязвимость существует в версиях Telegram v10.14.4 и старше.
Исследователи ESET обнаружили уязвимость после того, как на публичном канале Telegram было продемонстрировано «доказательство концепции» (PoC, Proof of Concept), что позволило получить вредоносный файл.
Инженеры ESET подтвердили, что эксплойт работает в версиях Telegram v10.14.4 и старше, и назвали его «EvilVideo». Исследователь ESET Лукас Стефанко (Lukas Stefanko) сообщил об уязвимости в Telegram 26 июня и повторно 4 июля 2024 года.
Представители Telegram ответили 4 июля,что изучают отчет, а 11 июля 2024 года в версии 10.14.5 вышло исправление уязвимости.
Таким образом, у злоумышленников было как минимум пять недель для эксплуатации уязвимости до ее исправления.
Хотя неясно, использовалась ли уязвимость активно в реальных атаках, ESET поделилась сервером команд и управления (C2), использованным вредоносными файлами, на «infinityhackscharan.ddns[.]net».
Портал BleepingComputer обнаружил два вредоносных APK-файла, использующих этот C2 на VirusTotal [1, 2], которые выдавали себя за Avast Antivirus или «xHamster Premium Mod».
Уязвимость нулевого дня в Telegram
Уязвимость EvilVideo работала только в Telegram для Android и позволяла злоумышленникам создавать специально сформированные APK-файлы, которые при отправке другим пользователям Telegram выглядели как встроенные видео.
ESET считает, что эксплойт использует API Telegram для программного создания сообщения, которое выглядит как 30-секундное видео.
В настройках по умолчанию приложение Telegram на Android автоматически загружает медиафайлы, поэтому участники канала получают вредоносный файл на свое устройство, как только открывают разговор.
Для пользователей, которые отключили автоматическую загрузку, достаточно одного нажатия на превью видео, чтобы инициировать загрузку файла.
Когда пользователи пытаются воспроизвести фальшивое видео, Telegram предлагает использовать внешний проигрыватель, что может привести к тому, что получатели нажмут кнопку «Открыть» и выполнят вредоносную загрузку.
Затем потребуется дополнительный шаг: жертва должна разрешить установку неизвестных приложений в настройках устройства, что позволяет установить вредоносный APK-файл на устройство.
Хотя злоумышленник утверждает, что эксплойт является «однокликовым», факт наличия множества шагов и специфических настроек для выполнения вредоносного файла на устройстве жертвы значительно снижает риск успешной атаки.
ESET проверила эксплойт на веб-клиенте Telegram и Telegram Desktop и обнаружила, что он там не работает, поскольку вредоносный файл рассматривается как MP4-видео.
Обновленная версия Telegram 10.14.5 теперь корректно отображает APK-файл в превью, поэтому обмануть пользователей больше не получится.
Если вы недавно получили видеофайлы, которые предлагали использовать внешнее приложение для воспроизведения через Telegram, выполните сканирование файловой системы с помощью мобильного антивируса, чтобы найти и удалить вредоносные файлы с вашего устройства.
Обычно видеофайлы Telegram хранятся по пути в /storage/emulated/0/Telegram/Telegram Video/ (внутренняя память) или в /storage/
Компания ESET также поделилась видео, демонстрирующим уязвимость нулевого дня в Telegram.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах