EvilVideo consente agli aggressori di inviare payload che appaiono come file video nell’app Telegram per Android. L’exploit è efficace solo sulle versioni di Telegram per Android antecedenti l’aggiornamento dell’11 luglio
ESET, leader europeo globale nel mercato della cybersecurity, ha individuato un exploit zero-day, mirato all’app Telegram per Android, apparso in vendita a un prezzo non specificato su un forum underground del giugno 2024. Utilizzando l’exploit che ESET ha denominato “EvilVideo”, gli aggressori potrebbero condividere payload Android dannosi tramite canali, gruppi e chat di Telegram, facendoli apparire come file multimediali.
“Abbiamo individuato l’exploit pubblicizzato su un forum clandestino, in cui il venditore mostrava schermate e un video di test dell’exploit in un canale Telegram pubblico. Siamo riusciti a identificare il canale in questione, con l’exploit ancora disponibile. Questo ci ha permesso di testarlo direttamente”, spiega Lukáš Štefanko, ricercatore ESET che ha scoperto l’exploit di Telegram.
L’analisi dell’exploit condotta da ESET Research ha rivelato che il codice opera sulle versioni di Telegram 10.14.4 e precedenti. Questo exploit sembra sfruttare l’API di Telegram, che permette agli sviluppatori di caricare file multimediali specificamente realizzati nelle chat o nei canali. L’exploit sfrutta la capacità di mostrare un payload Android come anteprima multimediale, anziché come allegato binario. Quando viene condiviso in chat, il payload dannoso appare come un video di 30 secondi.
Per impostazione predefinita, Telegram scarica automaticamente i file multimediali ricevuti. Gli utenti con questa opzione abilitata scaricheranno automaticamente il payload dannoso una volta aperta la conversazione in cui è stato condiviso. L’opzione di download automatico può essere disattivata manualmente: in tal caso, il payload può ancora essere scaricato toccando il pulsante di download del video condiviso.
Quando l’utente tenta di riprodurre il “video”, Telegram mostra un messaggio di errore che indica l’impossibilità di riprodurre il video e suggerisce di utilizzare un lettore esterno. Tuttavia, se l’utente tocca il pulsante Apri nel messaggio visualizzato, verrà invitato a installare un’app dannosa camuffata da app esterna.
Dopo aver scoperto la vulnerabilità di EvilVideo il 26 giugno 2024, ESET ha seguito la policy di divulgazione coordinata e l’ha segnalata a Telegram, ma inizialmente non ha ricevuto risposta. ESET ha inoltrato nuovamente la segnalazione il 4 luglio e, questa volta, Telegram ha confermato che erano in corso indagini interne su EvilVideo. Il problema è poi stato risolto con la distribuzione della versione 10.14.5, rilasciata l’11 luglio. La vulnerabilità riguarda tutte le versioni di Telegram per Android fino alla 10.14.4, ma è stata corretta a partire dalla versione 10.14.5.
Ulteriori informazioni su EvilVideo, nel blogpost “Cursed tapes: Exploiting the EvilVideo vulnerability in Telegram for Android” su WeLiveSecurity.com. Assicuratevi di seguire ESET Research on Twitter (now known as X) for the latest news from ESET Research.