Язвимость нулевого дня в приложении Telegram для операционной системы Android, получившая название "EvilVideo", предоставляет злоумышленникам возможность отправлять вредоносные данные в формате Android APK, маскируя их под видеофайлы.
Злоумышленник по имени Ancryno впервые начал продажу эксплойта для этой уязвимости 6 июня 2024 года, объявив на одном из хакерских форумов, что она присутствует в версии Telegram 10.14.4 и более ранних. После публикации эксплойта в общедоступном канале Telegram, исследователи из компании ESET обратили на него внимание, дали ему название "EvilVideo" и сообщили о нем разработчикам Telegram. В ответ Telegram заявили, что изучают отчет, и 11 июля уязвимость была устранена в версии 10.14.5. Таким образом, злоумышленники имели как минимум пять недель для эксплуатации "EvilVideo".
ESET поделилась сервером управления и контроля (C2), который использовался полезными нагрузками, в "infinityhackscharan.ddns.net". Сайт BleepingComputer обнаружил на VirusTotal два вредоносных APK-файла, использующих этот C2, которые выдавали себя за антивирус Avast или "премиум-мод xHamster".
Уязвимость работала только в Telegram для Android и позволяла злоумышленникам создавать специально созданные APK-файлы, которые при отправке другим пользователям в Telegram выглядели как встроенные видео. ESET считает, что эксплойт использует API Telegram для программного создания сообщения, которое выглядит как 30-секундное видео. По умолчанию приложение Telegram на Android автоматически загружает медиафайлы, поэтому участники канала получают полезную нагрузку на свои устройства, как только открывают чат. Пользователям, у которых отключена автоматическая загрузка, достаточно одного нажатия на предварительный просмотр видео, чтобы начать загрузку файла.
Когда пользователи пытаются воспроизвести поддельное видео, Telegram предлагает использовать внешний проигрыватель, из-за чего получатели могут нажать кнопку "Открыть" и выполнить полезную нагрузку. Далее требуется дополнительный шаг: жертва должна включить установку неизвестных приложений в настройках устройства, что позволит установить на устройство вредоносный APK-файл.
ESET протестировала эксплойт в веб-клиенте Telegram и Telegram Desktop и обнаружила, что там он не работает, поскольку полезная нагрузка обрабатывается как видеофайл MP4. Исправление Telegram в версии 10.14.5 теперь правильно отображает APK-файл в предварительном просмотре, поэтому получатели больше не могут быть обмануты тем, что выглядит как видеофайлы. Пользователям, которые подозревают, что могли загрузить вредоносный файл, рекомендуется выполнить сканирование файловой системы с помощью пакета мобильной безопасности, чтобы найти и удалить зловред с устройства.
Исследователи ESET обнаружили эксплойт Telegram нулевого дня для Android, который позволяет отправлять вредоносные файлы, замаскированные под видео