Компанія ESET — лідер у галузі інформаційної безпеки — виявила загрозу, націлену на користувачів Telegram для Android. Шкідливий компонент поширюється під виглядом відео через групи та чати Telegram, використовуючи уразливість у популярному додатку.
«Ми виявили, що експлойт EvilVideo рекламується на підпільному форумі. У дописі продавець показує скріншоти та відеотестування експлойту в загальнодоступному Telegram-каналі. Нам вдалося ідентифікувати цей канал, на якому був все ще доступний експлойт. Це дозволило отримати шкідливий компонент для подальшої перевірки», — пояснює Лукаш Штефанко, дослідник ESET.
Аналіз експлойту (шкідливий код, який використовує уразливості в системах) дослідниками ESET показав, що він розгортається у Telegram версії 10.14.4 та нижче. Шкідливий компонент, ймовірно, створено за допомогою Telegram API, оскільки він дозволяє завантажувати спеціально створені мультимедійні файли в чати або канали Telegram. Ймовірно, компонент відображає програму для Android у режимі попереднього перегляду мультимедійного файлу, а не як вкладення. Після надсилання в чат загроза відображається як 30-секундне відео.
Рис.1. Експлойт EvilVideo в Telegram.
За замовчуванням медіафайли, отримані через Telegram, завантажаються автоматично. Це означає, що користувачі з увімкненою опцією автоматично завантажуватимуть шкідливий компонент відразу після відкриття чату з ним. Якщо вимкнути цей параметр вручну, шкідливий компонент все одно можна завантажити, натиснувши кнопку для завантаження відео.
При спробі відтворення відео Telegram відображає повідомлення про те, що не може зробити це, а натомість пропонує використовувати зовнішній програвач. Однак, якщо користувач натисне кнопку «Відкрити» в повідомленні, йому буде запропоновано встановити шкідливу програму, замасковану під сторонній додаток для відображення відео.
Після виявлення уразливості 26 червня 2024 року ESET повідомила про це в компанію Telegram, але на той час не отримала відповіді. Після цього 4 липня спеціалісти ESET спробували зв’язатися знову і цього разу отримали відповідь від Telegram з підтвердженням, що її команда досліджує EvilVideo. Telegram вирішила проблему, випустивши 11 липня версію 10.14.5. Варто зазначити, що уразливість вплинула на всі версії Telegram для Android до 10.14.4.
У зв’язку з небезпекою слід якнайшвидше оновити Telegram до актуальної версії, не завантажувати підозрілі програми на свій пристрій, натомість використовувати лише перевірені додатки з офіційних магазинів. Крім того, варто слідкувати за дозволами, які ви надаєте програмам, та встановити рішення для захисту ваших комп’ютерів та мобільних пристроїв від різних загроз.