Истраживачи из компаније ЕСЕТ открили су рањивост нултог дана Телеграма за Андроид која омогућава нападачима да пошаљу малвер маскиран у видео снимке.
Истраживачи ЕСЕТ-а су на руском хакерском форуму XСС.ИС примјетили експлоатацију нултог дана за Телеграм за Андроид, названу „ЕвилВидео“, која омогућава хакерима да преко Телеграм канала, група и ћаскања шире малвере маскиране у видео снимке.
ЕСЕТ је тестирао експлоатацију на Телеграм Вебу и Телеграм Десктоп за Виндовс, и открио да не функционише на овим платформама. Оба клијента су приказивала поруке о грешци и третирала малвер као мултимедијални фајл, спречавајући експлоатацију да се покрене.
Хакер по имену Анцрино је почео да продаје експлоатацију нултог дана Телеграма 6. јуна 2024. наводећи у објави на XСС форуму да је грешка у Телеграму в10.14.4 и старијим верзијама.
Истраживачи ЕСЕТ-а открили су ЕвилВидео након што је ПоЦ подељен на јавном Телеграм каналу. Након што је ЕСЕТ потврдио да ЕвилВидео функционише у Телеграму в10.14.4 и старијим верзијама, истраживач компаније ЕСЕТ Лукас Стефанко је пријавио грешку Телеграму 26. јуна и поново 4. јула 2024, јер на прво обраћање није добио одговор.
Телеграм је потврдио да истражује проблем и објавио закрпу 11. јула 2024. са верзијом 10.14.5. Закрпа осигурава да се дијељени фајлови исправно идентификују као апликације, а не као видео снимци.
Али ово значи да су сајбер криминалци имали најмање пет недјеља да искористе грешку прије него што је она исправљена, шаљући посебно направљене АПК фајлове другим корисницима на Телеграму.
ЕСЕТ каже да ЕвилВидео користи Телеграм АПИ да би се креирала порука која изгледа као да приказује видео од 30 секунди. По подразумијеваној поставци, апликација Телеграм на Андроиду аутоматски преузима медијске фајлове, тако да учесници канала примају садржај на свом уређају када отворе разговор. За кориснике који су онемогућили аутоматско преузимање, један додир на преглед видеа је довољан да започне преузимање фајла.
Када корисници покушају да пусте лажни видео, Телеграм предлаже коришћење екстерног плејера, што може довести до тога да примаоци додирну дугме „Отвори“, али је затим потребан додатни корак - жртва мора да омогући инсталацију непознатих апликација у подешавањима уређаја, омогућавајући да се злонамерни АПК фајл инсталира на уређај.
Иако продавац тврди да експлоатација захтева један клик, чињеница да захтева више кликова, корака и подешавања да би се малвер покренуо на уређају жртве значајно смањује ризик од успјешног напада.
Ипак, корисници Телеграма на Андроиду треба да ажурирају своју апликацију на најновију верзију како би се заштитили од ЕвилВидеа и сличних пријетњи.
