聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
安卓版 Telegram 中存在一个被称为“EvilVideo”的0day漏洞,它可导致攻击者将恶意安卓APK payload 伪装为视频文件。
威胁行动者 “Ancryno” 首次于2024年6月6日在俄语 XSS 黑客论坛上出售该 Telegram 0day 利用,表示该漏洞存在于 Telegram v10.14.4和更早版本中。ESET公司的安全研究员在一个公开的 Telegram 信道上看到分享的 PoC 演示后发现了该漏洞,并可借此获取恶意 payload。
ESET公司证实称,该利用在 Telegram v10.14.4和更早版本中起作用,并将其命名为 “EvilVideo”。研究人员 Lukas Stefanko 先后在6月26日和7月4日将该漏洞报送给 Telegram。Telegram 公司在7月4日回应称正在调查此事,之后在版本10.14.5中修复了该漏洞并在2024年7月11日发布。这意味着威胁行动者至少有五周的时间利用该漏洞。
虽然目前尚不清楚该漏洞是否已被用于攻击中,但ESET公司共享了 payload 使用的C2服务器,'infinityhackscharan.ddns[.]net'。BleepingComputer 在 VirusTotal 上发现了使用该C2的两个恶意 APK 文件伪装为 Avast Antivirus 或一个 'xHamster Premium Mod’。
Telegram 0day 利用
EvilVideo 0day 漏洞仅适用于安卓版 Telegram,可使攻击者创建特殊构造的 APK 文件,这些文件被发送给 Telegram 上的其它用户时会显示为嵌入式视频。
ESET 公司认为该利用通过 Telegram API 以编程的方式创建了一条信息,显示30秒的视频。在默认设置下,安卓版本的 Telegram app 自动下载媒体文件,因此频道参与人员在打开会话时就会在设备上收到该 payload。如用户已禁用自动下载,则仅在视频预览上点击一下就足以初始化文件下载。当用户尝试播放虚假视频时,Telegram 会提示使用外部播放器,从而可能导致收件人点击“打开”按钮并执行该 payload。
接着,需要完成另外一步,即受害者必须从设备设置中启用安装未知应用,使恶意 APK 文件安装到设备上。尽管威胁行动者声称该利用是“一次点击”,但实际上它要求多次点击、步骤和具体设置才能在受害者设备上执行恶意 payload,从而降低成功攻击的风险。研究人员在 Telegram 的 web 客户端和 Desktop 上测试了该利用,发现由于该 payload 被当作 MP4 视频文件处理,因此并不适用。
Telegram 在10.14.5版本中发布的修复方案在预览中正确显示 APK 文件,因此收件人不再受骗。如用户最近收到要求外部app 通过 Telegram 进行播放,使用移动安全套件扫描文件系统以定位和删除payload。一般而言,Telegram 视频文件存储在 '/storage/emulated/0/Telegram/Telegram Video/' (内部存储)或 '/storage//Telegram/Telegram Video/' (外部存储)。ESET 还分享了相关演示视频。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
如何操纵通过 WhatsApp 和 Telegram 发送的媒体文件?
原文链接
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
