Ένα σφάλμα zero-day στην εφαρμογή του Telegram για Android, που ονομάζεται EvilVideo έδωσε τη δυνατότητα στους εισβολείς να διαδίδουν malware, μεταμφιεσμένο σε βίντεο που φαίνεται ακίνδυνο.
Δείτε επίσης: Η ομάδα Daggerfly στοχεύει την Ταϊβάν με το MgBot malware
Το exploit εμφανίστηκε προς πώληση σε άγνωστη τιμή σε ένα φόρουμ hacking στις 6 Ιουνίου 2024, είπε η ESET. Μετά την υπεύθυνη αποκάλυψη στις 26 Ιουνίου, το ζήτημα αντιμετωπίστηκε από το Telegram στην έκδοση 10.14.5 που κυκλοφόρησε στις 11 Ιουλίου.
«Οι εισβολείς θα μπορούσαν να μοιράζονται κακόβουλα ωφέλιμα φορτία Android μέσω καναλιών Telegram, ομάδων και συνομιλίας και να τα κάνουν να εμφανίζονται ως αρχεία πολυμέσων», δήλωσε ο ερευνητής ασφαλείας Lukáš Štefanko σε μια αναφορά.
Πιστεύεται ότι το σφάλμα EvilVideo που επιτρέπει διάδοση malware, έχει κατασκευαστεί χρησιμοποιώντας τη διεπαφή προγραμματισμού εφαρμογών (API) του Telegram, η οποία επιτρέπει τη λήψη μέσω προγραμματισμού, αρχείων πολυμέσων σε συνομιλίες και κανάλια. Με αυτόν τον τρόπο, επιτρέπει σε έναν εισβολέα να καμουφλάρει ένα κακόβουλο αρχείο APK ως βίντεο 30 δευτερολέπτων.
Στους χρήστες που κάνουν κλικ στο βίντεο εμφανίζεται ένα προειδοποιητικό μήνυμα που δηλώνει ότι το βίντεο δεν μπορεί να αναπαραχθεί και τους προτρέπει να δοκιμάσουν να το αναπαράγουν χρησιμοποιώντας μια εξωτερική συσκευή αναπαραγωγής. Εάν προχωρήσουν στο βήμα, θα τους ζητηθεί στη συνέχεια να επιτρέψουν την εγκατάσταση του αρχείου APK μέσω του Telegram. Η εν λόγω εφαρμογή ονομάζεται “xHamster Premium Mod“.
Δείτε ακόμα: Η συμμορία Revolver Rabbit καταχωρεί 500.000 τομείς για καμπάνιες malware
“Από προεπιλογή, τα αρχεία πολυμέσων που λαμβάνονται μέσω του Telegram έχουν ρυθμιστεί για αυτόματη λήψη“, είπε ο Štefanko. “Αυτό σημαίνει ότι οι χρήστες με ενεργοποιημένη την επιλογή θα κατεβάσουν αυτόματα το κακόβουλο ωφέλιμο φορτίο μόλις ανοίξουν τη συνομιλία όπου έγινε κοινή χρήση.“
Ενώ αυτή η επιλογή μπορεί να απενεργοποιηθεί χειροκίνητα, το ωφέλιμο φορτίο εξακολουθεί να μπορεί να ληφθεί πατώντας το κουμπί λήψης που συνοδεύει το υποτιθέμενο βίντεο. Αξίζει να σημειωθεί ότι η δυνατότητα διάδοσης malware μέσω του ελαττώματος EvilVideo δεν υπάρχει στην web εφαρμογή Telegram ή την αποκλειστική εφαρμογή των Windows.
Προς το παρόν δεν είναι σαφές ποιος βρίσκεται πίσω από το exploit και πόσο ευρέως χρησιμοποιήθηκε σε πραγματικές επιθέσεις. Ο ίδιος κακόβουλος παράγοντας ωστόσο, διαφήμισε τον Ιανουάριο του 2024 έναν πλήρως μη ανιχνεύσιμο Android crypter (γνωστό και ως cryptor) που φέρεται να μπορεί να παρακάμψει το Google Play Protect.
Δείτε επίσης: Νέο BugSleep malware χρησιμοποιείται σε επιθέσεις της MuddyWater
Το malware, αναφέρεται σε οποιοδήποτε λογισμικό έχει σχεδιαστεί για να προκαλέσει βλάβη σε έναν υπολογιστή, διακομιστή ή δίκτυο υπολογιστών. Περιλαμβάνει μια ποικιλία μορφών, όπως ιούς, worms, trojans, ransomware και spyware. Κάθε τύπος κακόβουλου λογισμικού λειτουργεί διαφορετικά, αλλά ο κοινός τους στόχος είναι να εκμεταλλεύονται τις συσκευές ή τα δεδομένα των χρηστών για επιβλαβείς σκοπούς, όπως η κλοπή ευαίσθητων πληροφοριών, η διακοπή της υπηρεσίας ή η απόκτηση μη εξουσιοδοτημένης πρόσβασης σε συστήματα. Η προστασία από malware περιλαμβάνει την εφαρμογή ισχυρών μέτρων ασφαλείας, τη διατήρηση ενημερωμένου λογισμικού και την προσοχή με τις λήψεις και τα συνημμένα email.
Πηγή: thehackernews
