/ Автор: Светлана Антонова | Оставить комментарий
Исследователи ESET обнаружили уязвимость нулевого дня под названием EvilVideo, нацеленную на приложение Telegram для Android.
Селлер с псевдоним Ancryno впервые начал продавать уязвимость нулевого дня Telegram 6 июня 2024 года, поделился скриншотами и видео тестирования эксплойта в ТГ-канале, после чего ESET удалось получить его и проанализировать.
Исследователям удалось идентифицировать сервер С2, используемый полезными нагрузками — infinityhackscharan.ddns[.]net. Кроме того, два вредоносных APK-файла с этим C2 засветились на VirusTotal [1, 2], выдавая себя за антивирус Avast и xHamster Premium Mod.
Эксплойт, по всей видимости, задействует API Telegram для загрузки специально созданных мультимедийных файлов, представляя полезную нагрузку как 30-секундное видео вместо двоичного вложения. В чате она выглядит как превью к видео.
По умолчанию Telegram автоматически загружает медиафайлы, делая пользователей уязвимыми для эксплойта EvilVideo. Для пользователей, отключивших автоматическую загрузку, достаточно одного нажатия на предварительный просмотр видео, чтобы начать загрузку файла.
При попытке воспроизвести видео Telegram предлагает использовать внешний проигрыватель, побуждая пользователей установить вредоносное приложение.
Далее жертва также должна разрешить установку неизвестных приложений в настройках устройства, что позволит вредоносному APK-файлу установиться на устройство.
ESET уведомила об уязвимости Telegram 26 июня и 4 июля 2024 года. Эксплойт работает только в версиях Telegram 10.14.4 и старше, уязвимость была устранена 11 июля 2024 года с выпуском 10.14.5.
Впрочем, в Telegram не считают это уязвимостью, поскольку эксплойт требует от пользователей открыть видео, настроить параметры безопасности Android, а затем вручную установить подозрительное на вид «медиа-приложение».
Как отмечают в ESET, пока неясно, использовался ли эксплойт в реальных атаках, это еще предстоит выяснить. Ведь у злоумышленников было не менее пяти недель на эксплуатацию, прежде чем она была исправлена.
С заботой о вашей безопасности, команда Origin Security