Компания ESET – лидер в области информационной безопасности – обнаружила угрозу, нацеленную на пользователей Telegram для Android. Вредоносный компонент распространяется под видом видео через группы и чаты Telegram, используя уязвимость в популярном приложении.
«Мы обнаружили, что эксплойт EvilVideo рекламируется на подпольном форуме. В посте продавец показывает скриншоты и видеотестирование эксплойта в общедоступном Telegram-канале. Нам удалось идентифицировать этот канал, на котором был все еще доступен эксплойт. Это позволило получить вредоносный компонент для дальнейшей проверки», – объясняет Лукаш Штефанко, исследователь ESET.
Анализ эксплойта (вредоносный код, который использует уязвимости в системах) исследователями ESET показал, что он разворачивается в Telegram версии 10.14.4 и ниже. Вредоносный компонент, вероятно, создан с помощью Telegram API, поскольку он позволяет загружать специально созданные мультимедийные файлы в чаты или каналы Telegram. Скорее всего, компонент отображает приложение для Android в режиме предварительного просмотра мультимедийного файла, а не как вложение. После отправки в чат угроза отображается как 30-секундное видео.
Рис.1. Эксплойт EvilVideo в Telegram.
По умолчанию медиафайлы, полученные через Telegram, загружаются автоматически. Это означает, что пользователи с включенной опцией будут автоматически загружать вредоносный компонент сразу после открытия чата с ним. Если выключить этот параметр вручную, вредоносный компонент все равно можно загрузить, нажав кнопку для загрузки видео.
При попытке воспроизвести видео Telegram отображает сообщение о том, что не может сделать это, вместо этого предлагает использовать внешний проигрыватель. Однако, если пользователь нажмет кнопку «Открыть» в сообщении, ему будет предложено установить вредоносную программу, замаскированную под стороннее приложение для отображения видео.
После обнаружения уязвимости 26 июня 2024 года ESET сообщила об этом в компанию Telegram, но в то время не получила ответа. После этого 4 июля специалисты ESET попытались связаться снова и на этот раз получили ответ от Telegram с подтверждением, что ее команда исследует EvilVideo. Telegram решила проблему, выпустив 11 июля версию 10.14.5. Следует отметить, что уязвимость повлияла на все версии Telegram для Android до 10.14.4.
В связи с опасностью следует как можно быстрее обновить Telegram до актуальной версии, не загружать подозрительные программы на свое устройство, а использовать только проверенные приложения из официальных магазинов. Кроме того, стоит следить за разрешениями, предоставляемыми программой, и установить решение для защиты ваших компьютеров и мобильных устройств от различных угроз.