Истражувачите на „ESET“ забележаа нулта дневна експлоатација за „Telegram“ за „Android“ на рускиот хакерски форум „XSS.IS“, наречен „EvilVideo“, кој им овозможува на хакерите да шират малициозен софтвер маскиран како видеа преку канали, групи и разговори на „Telegram“.
„ESET“ ја тестираше експлоатацијата на „Telegram Web“ и „Telegram Desktop“ за „Windows“ и откри дека не работи на овие платформи. Двата клиенти прикажуваа пораки за грешка и го третираа малициозниот софтвер како мултимедијална датотека, спречувајќи ја експлоатацијата да работи.
Хакер по име Анкрино почна да продава нулти ден на „Telegram“ на 6-ти јуни 2024-та година, наведувајќи во објава на „XSS“ форумот дека грешката била во „Telegram v10.14.4“ и порано.
Истражувачите на „ESET“ го открија „EvilVideo“ откако „PoC“ беше споделен на јавен канал на „Telegram“. Откако „ESET“ потврди дека „EvilVideo“ работи во „Telegram v10.14.4“ и постари верзии, истражувачот на „ESET“ Лукас Стефанко ја пријавил грешката во „Telegram“ на 26-ти јуни и повторно на 4-ти јули 2024-та година, бидејќи не добил одговор на првиот контакт.
„Telegram“ потврди дека го истражува проблемот и објави ажурирање на 11-ти јули 2024-та година со верзија „10.14.5“. Ажурирањето осигурува дека споделените датотеки се правилно идентификувани како апликации, а не како видеа.
Но, ова значи дека сајбер-криминалците имаа најмалку пет недели да го искористат пропустот пред да биде закрпен, испраќајќи специјално изработени „APK“-датотеки до други корисници на „Telegram“.
„ESET“ вели дека „EvilVideo“ го користи „Telegram API“ за да создаде порака што се чини дека прикажува видео од 30 секунди. Стандардно, апликацијата „Telegram“ на „Android“ автоматски презема медиумски датотеки, така што учесниците на каналот добиваат содржина на нивниот уред кога отвораат разговор. За корисниците кои имаат оневозможено автоматско преземање, доволно е едно допирање на прегледот на видеото за да започне преземањето на датотеката.
Кога корисниците се обидуваат да репродуцираат лажно видео, „Telegram“ предлага користење на надворешен плеер, што може да доведе до допирање на копчето „Отвори“ од примателите, но потоа е потребен дополнителен чекор – жртвата треба да овозможи инсталирање на непознати апликации во поставките на уредот, дозволувајќи им на злонамерната „APK“ да се инсталира датотеката на уредот.
Иако продавачот тврди дека експлоатот бара еден клик, фактот што бара повеќекратни кликања, чекори и поставки за стартување на малициозниот софтвер на уредот на жртвата значително го намалува ризикот од успешен напад.
Сепак, корисниците на „Telegram“ на „Android“ треба да ја ажурираат својата апликација до најновата верзија за да се заштитат од „EvilVideо“ и слични закани.
