Мы наткнулись на пост на подпольном форуме, рекламирующий эксплойт нулевого дня, нацеленный на Telegram для Android. Продавец продемонстрировал скриншоты и видео, показывающие работу эксплойта в действии. Определив канал, где был доступен эксплойт, мы смогли получить полезную нагрузку для дальнейшего анализа.
Анализ
Наше расследование показало, что эксплойт был эффективен на версиях Telegram до 10.14.4 включительно. Похоже, что полезная нагрузка была создана с использованием API Telegram, что позволяет разработчикам программно загружать настроенные мультимедийные файлы. Эксплойт обманывает пользователей, заставляя их загрузить вредоносное приложение, замаскированное под видеофайл, который предлагает установить приложение при попытке воспроизвести «видео».
Злоумышленник
Хотя подробности о злоумышленнике остаются скудными, мы обнаружили дополнительные сомнительные услуги, которые они предлагают, основываясь на их нике в Telegram, указанном в посте на форуме. Помимо эксплойта, они рекламируют услугу криптора для Android с 11 января 2024 года, утверждая, что он полностью не обнаруживается (FUD).
Отчет о уязвимости
После обнаружения уязвимости EvilVideo мы незамедлительно сообщили о ней в Telegram 26 июня 2024 года. После второго отчета 4 июля Telegram признал проблему и выпустил патч с версией 10.14.5 11 июля 2024 года. Уязвимость затрагивала версии Telegram для Android до 10.14.4 включительно, но с тех пор была устранена.
Таким образом, мы обнаружили эксплойт нулевого дня, нацеленный на Telegram для Android, позволяющий замаскировать вредоносные полезные нагрузки под мультимедийные файлы. К счастью, Telegram оперативно устранил уязвимость после нашего отчета. Пользователи теперь защищены от этого эксплойта.