Underc0de
Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Julio 24, 2024, 04:01:59 PM
(https://i.postimg.cc/HW6wsz3Z/Telegram.png) (https://postimages.org/)
Una vulnerabilidad de día cero en Telegram para Android denominada 'EvilVideo' permitió a los atacantes enviar cargas útiles maliciosas de APK de Android disfrazadas de archivos de vídeo.
Un actor de amenazas llamado 'Ancryno' comenzó a vender el exploit de día cero de Telegram el 6 de junio de 2024, en una publicación en el foro de piratería XSS de habla rusa, afirmando que la falla existía en Telegram v10.14.4 y versiones anteriores.
Los investigadores de ESET descubrieron la falla después de que se compartiera una demostración de PoC en un canal público de Telegram, lo que les permitió obtener la carga maliciosa.
Actor de amenazas que vendiendo el exploit en un foro de piratería
(https://i.postimg.cc/0yRb8JgX/Telegram-Zero-Day.png) (https://postimages.org/)
ESET confirmó que el exploit funcionó en Telegram v10.14.4 y versiones anteriores y lo llamó 'EvilVideo'. El investigador de ESET, Lukas Stefanko, reveló responsablemente la falla a Telegram el 26 de junio y nuevamente el 4 de julio de 2024.
Telegram respondió el 4 de julio afirmando que estaban investigando el informe y luego parchearon la vulnerabilidad en la versión 10.14.5, lanzada el 11 de julio de 2024.
Esto significa que los actores de la amenaza tuvieron al menos cinco semanas para explotar el día cero antes de que se parcheara.
Si bien no está claro si la falla fue explotada activamente en los ataques, ESET compartió un servidor de comando y control (C2) utilizado por las cargas útiles en 'infinityhackscharan.ddns[.]net'.
BleepingComputer encontró dos archivos APK maliciosos usando ese C2 en VirusTotal que pretenden ser Avast Antivirus o un 'xHamster Premium Mod'.
Explotación de día cero de Telegram
La falla de día cero de EvilVideo solo funcionó en Telegram para Android y permitió a los atacantes crear archivos APK especialmente diseñados que, cuando se envían a otros usuarios en Telegram, aparecen como videos incrustados.
ESET cree que el exploit utiliza la API de Telegram para crear mediante programación un mensaje que parece mostrar un video de 30 segundos.
Vista previa del archivo APK como un clip de 30 segundos
(https://i.postimg.cc/Zqq9gzzJ/Telegram-zero-day-2.png) (https://postimages.org/)
En su configuración predeterminada, la aplicación Telegram en Android descarga automáticamente archivos multimedia, por lo que los participantes del canal reciben la carga útil en su dispositivo una vez que abren la conversación.
Para los usuarios que han desactivado la descarga automática, un solo toque en la vista previa del video es suficiente para iniciar la descarga del archivo.
Cuando los usuarios intentan reproducir el video falso, Telegram sugiere usar un reproductor externo, lo que puede hacer que los destinatarios presionen el botón "Abrir" y ejecuten la carga útil.
Solicitud de inicio de un reproductor de vídeo externo
(https://i.postimg.cc/nzjXFKL5/Telegram-zero-day-3.png) (https://postimages.org/)
A continuación, se requiere un paso adicional: la víctima debe habilitar la instalación de aplicaciones desconocidas desde la configuración del dispositivo, permitiendo que el archivo APK malicioso se instale en el dispositivo.
Paso que requiere la aprobación de la instalación de APK
(https://i.postimg.cc/LXPm02vY/Telegram-zero-day-4.png) (https://postimages.org/)
Aunque el actor de amenazas afirma que el exploit es de "un clic", el hecho de que requiera múltiples clics, pasos y configuraciones específicas para que se ejecute una carga útil maliciosa en el dispositivo de la víctima reduce significativamente el riesgo de un ataque exitoso.
ESET probó el exploit en el cliente web de Telegram y en Telegram Desktop y descubrió que no funciona allí porque la carga útil se trata como un archivo de video MP4.
La solución de Telegram en la versión 10.14.5 ahora muestra el archivo APK correctamente en la vista previa, por lo que los destinatarios ya no pueden ser engañados por lo que parecerían archivos de video.
Si recientemente recibió archivos de video que solicitaron una aplicación externa para reproducir a través de Telegram, realice un escaneo del sistema de archivos usando una suite de seguridad móvil para ubicar y eliminar las cargas útiles de su dispositivo.
Normalmente, los archivos de vídeo de Telegram se almacenan en '/storage/emulated/0/Telegram/Telegram Video/' (almacenamiento interno) o en '/storage/<SD Card ID>/Telegram/Telegram Video/' (almacenamiento externo).
ESET compartió un vídeo que demuestra el exploit de día cero de Telegram, que se puede ver a continuación:Un portavoz de Telegram envió la siguiente declaración sobre el exploit:
"Este exploit no es una vulnerabilidad en Telegram. Habría requerido que los usuarios abrieran el video, ajustaran la configuración de seguridad de Android y luego instalaran manualmente una "aplicación multimedia" de aspecto sospechoso.
Recibimos un informe sobre este exploit el 5 de julio y el 9 de julio se implementó una solución del lado del servidor para proteger a los usuarios en todas las versiones de Telegram". - Portavoz de Telegram
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/telegram-zero-day-allowed-sending-malicious-android-apks-as-videos/