ESET descubre y reporta la vulnerabilidad ‘EvilVideo’ en Telegram para Android
El 22 de julio de 2024, se hizo pública una grave vulnerabilidad en Telegram para Android, conocida como ‘EvilVideo’, que permitió a atacantes enviar APKs maliciosos disfrazados como archivos de video. Esta vulnerabilidad fue inicialmente descubierta y vendida por un actor de amenazas apodado ‘Ancryno’ en el foro de hacking de habla rusa XSS, señalando que el fallo existía en la versión 10.14.4 y anteriores de la aplicación.
![ESET descubre y reporta la vulnerabilidad 'EvilVideo' en Telegram para Android
El 22 de julio de 2024, se hizo pública una grave vulnerabilidad en Telegram para Android, conocida como 'EvilVideo', que permitió a atacantes enviar APKs maliciosos disfrazados como archivos de video. Esta vulnerabilidad fue inicialmente descubierta y vendida por un actor de amenazas apodado 'Ancryno' en el foro de hacking de habla rusa XSS, señalando que el fallo existía en la versión 10.14.4 y anteriores de la aplicación.
Detalles del exploit y descubrimiento
Investigadores de ESET descubrieron la vulnerabilidad después de que se compartiera una demostración de prueba de concepto (PoC) en un canal público de Telegram, lo que les permitió obtener el payload malicioso. La vulnerabilidad permitía a los atacantes crear archivos APK especialmente diseñados que, al enviarse a otros usuarios en Telegram, parecían videos incrustados de 30 segundos.
Proceso de explotación
Cuando un usuario abría la conversación que contenía el archivo, Telegram automáticamente descargaba el archivo malicioso en dispositivos con la configuración predeterminada. Para los usuarios con la descarga automática desactivada, un solo toque en la vista previa del video iniciaba la descarga del archivo. Posteriormente, al intentar reproducir el falso video, Telegram sugería utilizar un reproductor externo, llevando a los usuarios a tocar el botón "Abrir" y ejecutar el payload. Para que el ataque fuera exitoso, los usuarios también debían habilitar la instalación de aplicaciones desconocidas desde la configuración del dispositivo.
Respuesta y mitigación
ESET informó responsablemente de la vulnerabilidad a Telegram el 26 de junio y nuevamente el 4 de julio de 2024. Telegram respondió investigando el informe y parcheó la vulnerabilidad en la versión 10.14.5, lanzada el 11 de julio de 2024. Esto significa que los actores de amenazas tuvieron al menos cinco semanas para explotar la vulnerabilidad antes de que se aplicara el parche.
Aunque no está claro si el fallo fue explotado activamente en ataques, ESET compartió un servidor de comando y control (C2) utilizado por los payloads en 'infinityhackscharan.ddns[.]net'. BleepingComputer encontró dos archivos APK maliciosos utilizando ese C2 en VirusTotal, que pretendían ser Avast Antivirus o un 'xHamster Premium Mod'.
Recomendaciones de seguridad
ESET probó el exploit en el cliente web de Telegram y en Telegram Desktop, y descubrió que no funcionaba allí, ya que el payload se trataba como un archivo de video MP4. La corrección de Telegram en la versión 10.14.5 ahora muestra correctamente el archivo APK en la vista previa, evitando que los receptores sean engañados.
Si recientemente has recibido archivos de video que solicitan una aplicación externa para reproducirlos a través de Telegram, realiza un escaneo del sistema de archivos utilizando una suite de seguridad móvil para localizar y eliminar los payloads de tu dispositivo. Los archivos de video de Telegram generalmente se almacenan en '/storage/emulated/0/Telegram/Telegram Video/' (almacenamiento interno) o en '/storage/<ID de la tarjeta SD>/Telegram/Telegram Video/' (almacenamiento externo).
________________________________________
Mantente informado y protegido contra vulnerabilidades críticas como esta. La ciberseguridad es una responsabilidad compartida que requiere vigilancia constante y acciones preventivas.](https://devel.group/wp-content/uploads/2024/07/Threat-actor-selling-the-exploit-on-a-hacking-forum.jpg)
DeveDetalles del exploit y descubrimiento
Investigadores de ESET descubrieron la vulnerabilidad después de que se compartiera una demostración de prueba de concepto (PoC) en un canal público de Telegram, lo que les permitió obtener el payload malicioso. La vulnerabilidad permitía a los atacantes crear archivos APK especialmente diseñados que, al enviarse a otros usuarios en Telegram, parecían videos incrustados de 30 segundos.
Proceso de explotación
Cuando un usuario abría la conversación que contenía el archivo, Telegram automáticamente descargaba el archivo malicioso en dispositivos con la configuración predeterminada. Para los usuarios con la descarga automática desactivada, un solo toque en la vista previa del video iniciaba la descarga del archivo. Posteriormente, al intentar reproducir el falso video, Telegram sugería utilizar un reproductor externo, llevando a los usuarios a tocar el botón “Abrir” y ejecutar el payload. Para que el ataque fuera exitoso, los usuarios también debían habilitar la instalación de aplicaciones desconocidas desde la configuración del dispositivo.
Respuesta y mitigación
ESET informó responsablemente de la vulnerabilidad a Telegram el 26 de junio y nuevamente el 4 de julio de 2024. Telegram respondió investigando el informe y parcheó la vulnerabilidad en la versión 10.14.5, lanzada el 11 de julio de 2024. Esto significa que los actores de amenazas tuvieron al menos cinco semanas para explotar la vulnerabilidad antes de que se aplicara el parche.
Aunque no está claro si el fallo fue explotado activamente en ataques, ESET compartió un servidor de comando y control (C2) utilizado por los payloads en ‘infinityhackscharan.ddns[.]net’. BleepingComputer encontró dos archivos APK maliciosos utilizando ese C2 en VirusTotal, que pretendían ser Avast Antivirus o un ‘xHamster Premium Mod’.
Recomendaciones de seguridad
ESET probó el exploit en el cliente web de Telegram y en Telegram Desktop, y descubrió que no funcionaba allí, ya que el payload se trataba como un archivo de video MP4. La corrección de Telegram en la versión 10.14.5 ahora muestra correctamente el archivo APK en la vista previa, evitando que los receptores sean engañados.
Si recientemente has recibido archivos de video que solicitan una aplicación externa para reproducirlos a través de Telegram, realiza un escaneo del sistema de archivos utilizando una suite de seguridad móvil para localizar y eliminar los payloads de tu dispositivo. Los archivos de video de Telegram generalmente se almacenan en ‘/storage/emulated/0/Telegram/Telegram Video/’ (almacenamiento interno) o en ‘/storage/<ID de la tarjeta SD>/Telegram/Telegram Video/’ (almacenamiento externo).
Mantente informado y protegido contra vulnerabilidades críticas como esta. La ciberseguridad es una responsabilidad compartida que requiere vigilancia constante y acciones preventivas.
