EvilVideo - Cibercriminales distribuyen en Telegram archivos maliciosos disfrazados de videos
Descubrieron un exploit zero-day de Telegram para Android que permite a los atacantes enviar archivos maliciosos camuflados como vídeos.
Resumen
- El 26 de junio de 2024, en un foro clandestino, encontraron un anuncio de un exploit Zero-day dirigido a Telegram para Android.
- Llamarón a la vulnerabilidad EvilVideo y la reportaron a Telegram; su equipo la parcheó el 11 de julio de 2024.
- EvilVideo permite a los atacantes enviar cargas maliciosas que aparecen como archivos de vídeo en Telegram para Android sin parchear.
- El exploit sólo funciona en las versiones 10.14.4 y anteriores de Telegram para Android.
Investigadores de ESET descubrieron un exploit de zero-day dirigido a Telegram para Android, que apareció a la venta en un post de un foro underground del 6 de junio de 2024. Utilizando el exploit para abusar de una vulnerabilidad que llamarón EvilVideo, los atacantes podían compartir cargas maliciosas para Android a través de canales, grupos y chat de Telegram, y hacerlas aparecer como archivos multimedia.
Encontraron el exploit a la venta en un foro clandestino.
En el post, el vendedor muestra capturas de pantalla y un vídeo probando el exploit en un canal público de Telegram.
Análisis
El análisis del exploit reveló que funciona en las versiones de Telegram 10.14.4 y anteriores. Es muy probable que el payload específico se haya creado utilizando la API de Telegram, ya que permite a los desarrolladores subir archivos multimedia creados específicamente a los chats o canales de Telegram mediante programación.
El exploit parece depender de que el actor de la amenaza sea capaz de generar una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un vídeo de 30 segundos.
Por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. Esto significa que los usuarios con la opción activada descargarán automáticamente la carga maliciosa una vez que abran la conversación en la que se compartió. La opción se puede desactivar manualmente, en cuyo caso, la carga se puede descargar pulsando el botón de descarga situado en la esquina superior izquierda del vídeo compartido, tal y como se muestra. Si el usuario intenta reproducir el vídeo, la carga se descargará automáticamente.
Si el usuario intenta reproducir el “vídeo”, Telegram muestra un mensaje de que no puede reproducirlo y sugiere utilizar un reproductor externo. Se trata de una advertencia original de Telegram que encontramos en el código fuente de la aplicación legítima de Telegram para Android; no ha sido creada ni empujada por la carga maliciosa.
Sin embargo, si el usuario pulsa el botón Abrir en el mensaje mostrado, se le pedirá que instale una aplicación maliciosa disfrazada como el reproductor externo antes mencionado. Antes de la instalación, Telegram pedirá al usuario que habilite la instalación de apps desconocidas.
En este punto, la app maliciosa en cuestión ya ha sido descargada como el aparente archivo de vídeo, pero con la extensión .apk. Curiosamente, es la naturaleza de la vulnerabilidad la que hace que el archivo compartido parezca un vídeo: la aplicación maliciosa real no se alteró para hacerse pasar por un archivo multimedia, lo que sugiere que lo más probable es que se aprovechara el proceso de carga. La solicitud de instalación de la aplicación maliciosa puede verse a continuación.
Desafortunadamente, no se pudo replicar el exploit, solo inspeccionar y verificar la muestra compartida por el vendedor.
Informe sobre la vulnerabilidad
La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, pero ha sido parcheada a partir de la versión 10.14.5. Según hemos comprobado, la vista previa multimedia del chat ahora muestra correctamente que el archivo compartido es una aplicación y no un vídeo.
