Подробности Эксплойта
Эксплойт был обнаружен на подпольном форуме в начале июня, где его продавал пользователь под ником «Ancryno». Продавец демонстрировал эксплойт через скриншоты и видео, показывая его функциональность в публичном канале Telegram. Этот эксплойт использовал стандартную настройку Telegram, которая автоматически загружает медиафайлы, позволяя злоумышленникам отправлять вредоносные полезные нагрузки через каналы, группы и чаты.
Хотя пользователи могли вручную отключить функцию автоматической загрузки, риск оставался, если они случайно нажимали кнопку загрузки для общего файла. При попытке воспроизвести то, что казалось видеофайлом, пользователи получали сообщение о том, что файл не может быть воспроизведен, с предложением использовать внешний проигрыватель. Именно здесь заключалась зловредная задумка; хакеры замаскировали вредоносное приложение под этот внешний проигрыватель.
К счастью, Telegram устранил эту уязвимость в версиях 10.14.5 и выше, выпущенных в начале этого месяца. В обновленной версии любой вредоносный файл, отправленный в чате, теперь точно отображается как приложение, а не видео, что снижает риск случайной установки.
Потенциальное Влияние и Неизвестные Факторы
Несмотря на патч, эксплойт имел окно примерно в пять недель, в течение которых он мог быть использован. Однако ESET не подтвердил, был ли он активно использован в дикой природе. Личность хакерской группы или индивидуального злоумышленника, стоящего за этим эксплойтом, остается неясной, как и их намерения и общая эффективность эксплойта.
Добавляя еще один слой интриги, тот же аккаунт на подпольном форуме, который рекламировал эксплойт EvilVideo, также продвигал Android-мальварь для криптомайнинга как услугу, утверждая, что она полностью не обнаруживается. Это вызывает дополнительные вопросы о возможностях и намерениях тех, кто действует в тенях цифрового ландшафта.