[24/07/2024] Los investigadores de ESET descubrieron un exploit de día cero, que tiene como objetivo la aplicación Telegram para Android, que apareció a la venta por un precio no especificado en una publicación clandestina del foro de junio del 2024. Usando el exploit para abusar de una vulnerabilidad que ESET llamó "EvilVideo", los atacantes podrían compartir cargas útiles maliciosas de Android a través de canales, grupos y chats de Telegram, y hacer que parezcan archivos multimedia.
"Encontramos el exploit anunciándose para la venta en un foro clandestino. En la publicación, el vendedor muestra capturas de pantalla y un video de prueba del exploit en un canal público de Telegram. Pudimos identificar el canal en cuestión, con el exploit aún disponible. Eso nos permitió tener en nuestras manos la carga útil y probarla nosotros mismos", explicó el investigador de ESET Lukáš Štefanko, quien descubrió el exploit de Telegram, en el comunicado de prensa.
El análisis de ESET Research sobre el exploit reveló que funciona en las versiones 10.14.4 y anteriores de Telegram. "La razón podría ser que lo más probable es que la carga útil específica se elabore utilizando la API de Telegram, ya que permite a los desarrolladores cargar archivos multimedia especialmente diseñados en chats o canales de Telegram de forma programática. El exploit parece depender de que el actor de amenazas pueda crear una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un video de 30 segundos”.
De forma predeterminada, añadió Štefanko, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. "Esto significa que los usuarios con esta opción habilitada descargarán automáticamente la carga maliciosa una vez que abran la conversación en la que se compartió. La opción de descarga automática predeterminada se puede desactivar manualmente: en ese caso, la carga útil aún se puede descargar tocando el botón de descarga del video compartido”.
Si el usuario intenta reproducir el "video", Telegram muestra un mensaje de que no puede reproducir el video y sugiere usar un reproductor externo. Sin embargo, si el usuario toca el botón Abrir en el mensaje mostrado, se le pedirá que instale una aplicación maliciosa disfrazada de la aplicación externa antes mencionada, anotó el investigador.
Después de descubrir la vulnerabilidad EvilVideo el 26 de junio del 2024, ESET siguió una política de divulgación coordinada y lo informó a Telegram, pero no recibió respuesta en ese momento. "Informamos de la vulnerabilidad nuevamente el 4 de julio, y esa vez, Telegram se comunicó con ESET el mismo día para confirmar que su equipo estaba investigando EvilVideo. Telegam luego solucionó el problema, lanzando la versión 10.14.5 el 11 de julio. La vulnerabilidad afectó a todas las versiones de Telegram para Android hasta la 10.14.4, pero se ha actualizado a partir de la versión 10.14.5”, finalizó Štefanko.
Franca Cavassa, CTOPerú