I ricercatori di ESET hanno scoperto una vulnerabilità zero-day di Telegram, dopo aver visto un “proof-of-concept” condiviso su un canale pubblico della piattaforma. Il bug, denominato EvilVideo, permette di inviare file APK infetti camuffati come video. La software house ha già rilasciato la patch.
Vulnerabilità in Telegram per Android
Un certo Ancryno ha messo in vendita l’exploit su un forum di hacking il 6 giugno, affermando che la vulnerabilità è presente nelle versioni fino alla 10.4.4 di Telegram per Android. I ricercatori di ESET hanno confermato l’esistenza del bug dopo aver scoperto una demo su un canale pubblico del servizio di messaggistica.
I ricercatori hanno assegnato all’exploit il nome EvilVideo e segnalato il problema alla software house il 26 giugno e il 4 luglio. La patch è stata inclusa in Telegram 10.4.5 dell’11 luglio. I cybercriminali hanno quindi avuto circa 5 settimane per sfruttare la vulnerabilità, ma al momento non risultano attacchi.
I file APK sono stati creati in modo da apparire come video di 30 secondi nella chat. Telegram scarica automaticamente il video per impostazione predefinita, quindi le ignare vittime scaricano il file APK infetto. Quando viene avviata la riproduzione, Telegram mostra un errore suggerendo di usare un player esterno. Se l’utente tocca sul link Open viene chiesto il permesso per l’installazione di app sconosciute.
Non è noto il malware nascosto nel file APK. Tuttavia, i passi necessari limitano il rischio di infezione (se l’utente legge gli avvisi). A partire da Telegram 10.4.5, i file APK vengono mostrati correttamente (non più come video). ESET ha pubblicato un video dimostrativo dell’exploit: