El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió un exploit zero-day de Telegram para Android. Además esto permite a los atacantes enviar archivos maliciosos camuflados como un video.
ESET identificó un exploit de día cero de Telegram para Android a la venta en un foro clandestino. Permite enviar payloads maliciosos que parecen archivos multimedia a través del chat.
Si un usuario intenta reproducir el «video», recibirá una solicitud para instalar una aplicación externa, que en realidad instala la carga maliciosa. Se corrigió desde el 11 de julio de 2024, después de que ESET informara de ella a Telegram.
Versión:
El análisis reveló que funciona en las versiones 10.14.4 y anteriores. Se especula que permite a los desarrolladores subir archivos multimedia creados específicamente a los chats o canales de Telegram mediante programación.
“El exploit parece depender de que el actor de la amenaza sea capaz de generar una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto. Una vez compartida en el chat, la carga maliciosa aparece como un video de 30 segundos”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente una vez que abran la conversación en la que se compartió. La opción se puede desactivar manualmente.
En caso de que el usuario pulse el botón Abrir en el mensaje, le pedirá que instale una aplicación maliciosa disfrazada como el reproductor externo. Antes de la instalación, Telegram pedirá al usuario que habilite la instalación de apps desconocidas.
La app maliciosa ya ha sido descargada como el aparente video, pero con la extensión .apk. La aplicación maliciosa real no se alteró para hacerse pasar por un archivo multimedia.
El payload fue creado únicamente para Android, desde ESET intentó probar su comportamiento en otros clientes de Telegram, como Telegram Web o Telegram Desktop para Windows, pero el exploit no funcionó en ninguno de ellos.
Solución:
No se pudo identificar el actor de la amenaza. Además del exploit, han estado utilizando el mismo foro clandestino para anunciar un cryptor-as-a-service para Android que afirman que es totalmente indetectable (FUD).
“La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, pero se parcheo a partir de la versión 10.14.5. Según comprobó el equipo de ESET, la vista previa multimedia del chat ahora muestra correctamente que el archivo compartido es una aplicación y no un video.”, concluye Gutiérrez Amaya de ESET.
Leave a Reply