Uma vulnerabilidade zero-day no Telegram para Android, apelidada de ‘EvilVideo’, permitiu que atacantes enviassem payloads em APKs Android disfarçados de arquivos de vídeo.
Um ator de ameaça identificado como ‘Ancryno’ começou a vender o exploit zero-day do Telegram em 6 de junho de 2024, em uma publicação no fórum de hackers russo XSS, afirmando que a falha existia na versão v10.14.4 e anteriores do Telegram.
Pesquisadores da ESET descobriram a falha após uma demonstração de PoC ser compartilhada em um canal público do Telegram, permitindo-lhes obter o payload.
A ESET confirmou que o exploit funcionou para o Telegram v10.14.4 e versões anteriores e o denominou ‘EvilVideo’.
O pesquisador da ESET, Lukas Stefanko, reportou a falha de maneira responsável ao Telegram em 26 de junho e novamente em 4 de julho de 2024.
O Telegram respondeu em 4 de julho, declarando que estava investigando o relatório e, em seguida, corrigiu a vulnerabilidade na versão 10.14.5, lançada em 11 de julho de 2024.
Isso significa que os atores de ameaças tiveram pelo menos cinco semanas para explorar o zero-day antes de ser corrigido.
Embora não esteja claro se a falha foi explorada ativamente em ataques, a ESET compartilhou um servidor de comando e controle (C2) utilizado pelos payloads em ‘infinityhackscharan.ddns[.]net’.
A falha zero-day EvilVideo funcionou apenas no Telegram para Android e permitiu que atacantes criassem arquivos APK especialmente projetados que, ao serem enviados a outros usuários no Telegram, aparecem como vídeos embutidos.
A ESET acredita que o exploit utiliza a API do Telegram para criar programaticamente uma mensagem que aparenta mostrar um vídeo de 30 segundos.
Na configuração padrão, o aplicativo Telegram no Android baixa automaticamente arquivos de mídia, então os participantes do canal recebem o payload em seu dispositivo assim que abrem a conversa.
Para usuários que desativaram o download automático, um único toque na pré-visualização do vídeo é suficiente para iniciar o download do arquivo.
Quando os usuários tentam reproduzir o vídeo falso, o Telegram sugere o uso de um player externo, o que pode levar os destinatários a clicar no botão “Abrir” e executar o payload malicioso.
Em seguida, um passo adicional é necessário: a vítima deve habilitar a instalação de aplicativos desconhecidos nas configurações do dispositivo, permitindo que o arquivo APK malicioso seja instalado no dispositivo.
Embora o ator de ameaça afirme que o exploit é “de um clique”, o fato de que requer múltiplos cliques, etapas e configurações específicas para que um payload malicioso seja executada no dispositivo da vítima reduz significativamente o risco de um ataque bem-sucedido.
A ESET testou o exploit no cliente web e no Telegram Desktop e descobriu que ele não funciona lá, pois o payload é tratado como um arquivo de vídeo MP4.
A correção do Telegram na versão 10.14.5 agora mostra o arquivo APK corretamente na pré-visualização, então os destinatários não podem mais ser enganados por arquivos que pareceriam vídeos.
Se você recebeu recentemente arquivos de vídeo que solicitaram um aplicativo externo para reprodução via Telegram, realize uma varredura no sistema de arquivos usando um pacote de segurança móvel para localizar e remover os payloads do seu dispositivo.
Tipicamente, arquivos de vídeo do Telegram são armazenados em ‘/storage/emulated/0/Telegram/Telegram Video/’ (armazenamento interno) ou em ‘/storage/<SD Card ID>/Telegram/Telegram Video/’ (armazenamento externo).
A ESET compartilhou um vídeo demonstrando o exploit zero-day do Telegram.
