(https://i.postimg.cc/SQBnth37/Telegram-hacker.png) (https://postimages.org/)
Los atacantes de Telegram están disfrazando scripts maliciosos como videos y engañando a los usuarios para que los ejecuten. Hacer clic accidentalmente filtrará algunos datos del usuario y puede provocar instalaciones forzadas de aplicaciones maliciosas.
Un investigador de seguridad que se hace llamar 0x6rss ha detallado una vulnerabilidad llamada EvilLoader que afecta a la aplicación de Android de Telegram. Es similar al error del año pasado cuando los atacantes enviaron directamente a los usuarios archivos APK disfrazados de videos para adultos.
Si bien Telegram corrigió la falla anterior, el investigador descubrió que su API aún permite a los atacantes disfrazar archivos maliciosos como videos.
Los atacantes pueden disfrazar un archivo .htm como un video y enviarlo a usuarios desprevenidos. Esta extensión se usa para archivos de páginas web guardados con el lenguaje de marcado de hipertexto (HTML). Sin embargo, las páginas web también pueden incluir y ejecutar código JavaScript (JS).
Si un usuario de Telegram intenta reproducir el archivo disfrazado, se ejecutará el código JavaScript dentro del HTML. Esto permite a los atacantes descargar y ejecutar cargas útiles maliciosas adicionales.
0x6rss describió un escenario teórico en el que un video falso no puede abrirse con un reproductor de video y luego redirige al usuario al navegador predeterminado, lo que permite que se ejecute el código JS malicioso.
Esto ya conduce a la dirección IP del usuario, pero el ataque no está completo. El archivo puede entonces imitar cualquier sitio web legítimo o redirigir a otros sitios web maliciosos. En el ejemplo proporcionado, el investigador falsificó la tienda Google Play, ofreciendo al usuario instalar una aplicación falsa de Google Play Protect.
Los usuarios recibirían algunas señales de alerta en forma de ventanas emergentes: tendrían que habilitar la instalación de aplicaciones de terceros y otorgarles permisos para tener control total sobre su dispositivo. Google protege a los usuarios de Android con Play Protect y advierte a los usuarios o bloquea las aplicaciones maliciosas conocidas que provienen de fuera de Play Store.
"La razón principal de la vulnerabilidad es que el formato de archivo '.htm' en la respuesta a los servidores de Telegram se percibe como un video", dijo el investigador en una publicación de blog.
"Se abre el contenido, lo que permite que se active y abra la página HTML especificada".
(https://i.postimg.cc/tRf4tbmy/0x6rss.png) (https://postimages.org/)
Básicamente, la falla se encuentra en la forma en que la aplicación de Telegram para Android interpreta y procesa los archivos recibidos a través de la API. La aplicación intenta manejar el archivo .htm como un video y permite que se ejecute el código JS.
La prueba de concepto (PoC) de la falla ya está disponible públicamente:
https://cti.monster/blog/2025/03/04/evilloader.html
https://github.com/0x6rss
https://github.com/0x6rss/telegram-video-extension-manipulation-PoC
Fuente:
CyberNews
https://cybernews.com/security/telegram-android-flaw-malware-disguised-as-video/