Истражувачите на компанијата ESET открија ранливост на нулта ден во Telegram за Android што им овозможува на напаѓачите да испраќаат малициозен софтвер маскиран како видео.
Истражувачите на ESET забележаа експлоатација за нулта ден на Telegram за Android наречена „EvilVideo“ на рускиот хакерски форум XSS.IS, кој им овозможува на хакерите да шират малициозен софтвер маскиран како видеа преку канали, групи и разговори на Telegram.
ESET ја тестираше експлоатацијата на Telegram Web и Telegram Desktop за Windows и откри дека не работи на овие платформи. Двата клиенти прикажуваа пораки за грешка и го третираа малициозниот софтвер како мултимедијална датотека, спречувајќи ја експлоатацијата да работи.
Хакер по име Анкрино почна да продава експлоатација за нулти ден на Telegram на 6 јуни 2024 година, наведувајќи во објава на XSS форумот дека грешката била во Telegram v10.14.4 и постарите верзии.
Истражувачите на ESET го открија EvilVideo откако PoC беше споделен на јавен канал на Telegram. Откако ESET потврди дека EvilVideo работи во Telegram v10.14.4 и постари верзии, истражувачот на ESET Лукас Стефанко ја пријавил грешката во Telegram на 26 јуни и повторно на 4 јули 2024 година, бидејќи не добил одговор на првиот контакт.
Telegram потврди дека го истражува проблемот и објави закрпа на 11 јули 2024 година со верзија 10.14.5. Закрпата осигурува дека споделените датотеки се правилно идентификувани како апликации, а не како видеа.
Но, ова значи дека сајбер-криминалците имаа најмалку пет недели да го искористат пропустот пред да биде закрпен, испраќајќи специјално изработени APK-датотеки до други корисници на Telegram.
ESET вели дека EvilVideo го користи Telegram API за да создаде порака што се чини дека прикажува видео од 30 секунди. Стандардно, апликацијата Telegram на Android автоматски презема медиумски датотеки, така што учесниците на каналот добиваат содржина на нивниот уред кога отвораат разговор. За корисниците кои имаат оневозможено автоматско преземање, доволно е едно допирање на прегледот на видеото за да започне преземањето на датотеката.
Кога корисниците се обидуваат да репродуцираат лажно видео, Telegram предлага користење на надворешен плеер, што може да доведе до допирање на копчето „Отвори“ од примателите, но потоа е потребен дополнителен чекор – жртвата треба да овозможи инсталирање на непознати апликации во поставките на уредо, дозволувајќи им на злонамерната АПК датотека да се инсталира на уредот.
Иако продавачот тврди дека експлоатацијата бара еден клик, фактот што бара повеќе кликања, чекори и поставки за стартување на малициозниот софтвер на уредот на жртвата значително го намалува ризикот од успешен напад.
Сепак, корисниците на Telegram на Android треба да ја ажурираат својата апликација до најновата верзија за да се заштитат од EvilVide и слични закани.