Истражувачите на ESET открија нулта дневна експлоатација за Telegram за Android, што им овозможува на напаѓачите да испраќаат малициозен софтвер маскиран како видеа.
Истражувачите на ESET забележаа нулта дневна експлоатација за Telegram за Android на рускиот хакерски форум XSS.IS, наречен EvilVideo, кој им овозможува на хакерите да шират малициозен софтвер маскиран како видеа преку канали, групи и разговори на Telegram.
ESET ја тестираше експлоатацијата на Telegram Web и Telegram Desktop за Windows и откри дека не работи на овие платформи. Двата клиенти прикажуваа пораки за грешка и го третираа малициозниот софтвер како мултимедијална датотека, спречувајќи ја експлоатацијата да работи.
Хакер по име Анкрино почна да продава нулти ден на Telegram на 6. јуни 2024-та година, наведувајќи во објава на XSS форумот дека грешката била во Telegram v10.14.4 и порано.
Истражувачите на ESET го открија EvilVideo откако PoC беше споделен на јавен канал на Telegram. Откако ESET потврди дека EvilVideo работи во Telegram v10.14.4“ и постари верзии, истражувачот на ESEТ, Лукас Стефанко ја пријавил грешката во „Telegram“ на 26-ти јуни и повторно на 4-ти јули 2024-та година, бидејќи не добил одговор на првиот контакт.
Telegram потврди дека го истражува проблемот и објави ажурирање на 11 јули 2024 година со верзија 10.14.5. Ажурирањето осигурува дека споделените датотеки се правилно идентификувани како апликации, а не како видеа.
Но, ова значи дека сајбер-криминалците имаа најмалку пет недели да го искористат пропустот пред да биде закрпен, испраќајќи специјално изработени APK-датотеки до други корисници на Telegram.
ESET вели дека EvilVideo го користи Telegram API за да создаде порака што се чини дека прикажува видео од 30 секунди. Стандардно, апликацијата Telegram на Android автоматски презема медиумски датотеки, така што учесниците на каналот добиваат содржина на нивниот уред кога отвораат разговор. За корисниците кои имаат оневозможено автоматско преземање, доволно е едно допирање на прегледот на видеото за да започне преземањето на датотеката.
Кога корисниците се обидуваат да репродуцираат лажно видео, Telegram предлага користење на надворешен плеер, што може да доведе до допирање на копчето „Отвори“ од примателите, но потоа е потребен дополнителен чекор – жртвата треба да овозможи инсталирање на непознати апликации во поставките на уредот, дозволувајќи им на злонамерната APK да се инсталира датотеката на уредот.
Иако продавачот тврди дека експлоатот бара еден клик, фактот што бара повеќекратни кликања, чекори и поставки за стартување на малициозниот софтвер на уредот на жртвата значително го намалува ризикот од успешен напад.
Сепак, корисниците на Telegram на Android треба да ја ажурираат својата апликација до најновата верзија за да се заштитат од EvilVideо и слични закани.