ESET Research ontdekt EvilVideo: Telegram-app voor Android getroffen door zero-day exploit met kwaadaardige video's

• ESET Research ontdekte een advertentie voor een zero-day exploit die gericht is op de Telegram-app voor Android, geplaatst in een ondergronds forum.
• ESET noemde de kwetsbaarheid die door de exploit wordt benut “EvilVideo” en meldde dit aan Telegram, de app heeft dit op 11 juli 2024 bijgewerkt.
• EvilVideo stelt aanvallers in staat om kwaadaardige payloads te verzenden die verschijnen als videobestanden in de oudere Telegram-app voor Android.
• De exploit werkt alleen op Android Telegram-versies 10.14.4 en ouder.

Sliedrecht, 24 juli 2024 –  ESET-onderzoekers hebben een zero-day exploit ontdekt die de Telegram-app voor Android aanvalt. De exploit werd te koop aangeboden voor een onbekende prijs in een ondergronds forumbericht van juni 2024. Door de exploit te misbruiken om een kwetsbaarheid te benutten die ESET “EvilVideo” heeft genoemd, konden aanvallers kwaadaardige Android-payloads delen via Telegram-kanalen, -groepen en -chats, en ze laten verschijnen als multimediabestanden.

“We hebben gezien dat de exploit te koop werd aangeboden op een ondergronds forum. In het bericht toont de verkoper screenshots en een video van het testen van de exploit in een openbaar Telegram-kanaal. We konden het betreffende kanaal identificeren, met de exploit nog steeds beschikbaar. Hierdoor konden we de payload bemachtigen en zelf testen,” legt ESET-onderzoeker Lukáš Štefanko, ontdekker van de Telegram-exploit, uit.

Uit de analyse van de exploit door ESET Research bleek dat deze werkt op Telegram-versies 10.14.4 en ouder. De reden hiervoor kan zijn dat de specifieke payload waarschijnlijk is gemaakt met behulp van de Telegram API, aangezien deze ontwikkelaars in staat stelt speciaal gemaakte multimediabestanden programmatisch naar Telegram-chats of -kanalen te uploaden. De exploit lijkt te berusten op de mogelijkheid van de dreigingsactor om een payload te maken die een Android-app weergeeft als een multimedia-preview en niet als een binaire bijlage. Eenmaal gedeeld in de chat, verschijnt de kwaadaardige payload als een video van 30 seconden.

Standaard zijn mediabestanden die via Telegram worden ontvangen ingesteld om automatisch te downloaden. Dit betekent dat gebruikers met deze optie ingeschakeld de kwaadaardige payload automatisch downloaden zodra ze het gesprek openen waarin deze is gedeeld. De optie voor automatisch downloaden kan handmatig worden uitgeschakeld — in dat geval kan de payload nog steeds worden gedownload door op de downloadknop van de gedeelde video te tikken.

Als de gebruiker de “video” probeert af te spelen, geeft Telegram een bericht weer dat het de video niet kan afspelen en suggereert het gebruik van een externe speler. Als de gebruiker echter op de knop ‘’Openen’’ in het weergegeven bericht tikt, wordt er gevraagd een kwaadaardige app te installeren die vermomd is als de eerder genoemde externe app.

Na de ontdekking van de EvilVideo-kwetsbaarheid op 26 juni 2024 volgde ESET het gecoördineerde openbaarmakingsbeleid en rapporteerde dit aan Telegram, maar ontving op dat moment geen reactie. De kwetsbaarheid werd opnieuw gerapporteerd op 4 juli, en die keer nam Telegram dezelfde dag contact op met ESET om te bevestigen dat hun team EvilVideo aan het onderzoeken was. Telegram loste het probleem vervolgens op door versie 10.14.5 uit te brengen op 11 juli. De kwetsbaarheid trof alle versies van Telegram voor Android tot en met 10.14.4, maar is bijgewerkt vanaf versie 10.14.5.

Voor meer informatie over EvilVideo, lees de blogpost “Cursed tapes: Exploiting the EvilVideo vulnerability in Telegram for Android” op WeLiveSecurity.com. En volg ESET Research op Twitter (nu X) voor het laatste nieuws.

Voorbeeld van hoe de EvilVideo exploit op Telegram gedeeld wordt