长亭百川云 - 文章详情

Telegram 0day可导致攻击者将恶意安卓APK以视频形式发送

代码卫士

46

2024-07-25


 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

安卓版 Telegram 中存在一个被称为“EvilVideo”的0day漏洞,它可导致攻击者将恶意安卓APK payload 伪装为视频文件。

威胁行动者 “Ancryno” 首次于2024年6月6日在俄语 XSS 黑客论坛上出售该 Telegram 0day 利用,表示该漏洞存在于 Telegram v10.14.4和更早版本中。ESET公司的安全研究员在一个公开的 Telegram 信道上看到分享的 PoC 演示后发现了该漏洞,并可借此获取恶意 payload。

ESET公司证实称,该利用在 Telegram v10.14.4和更早版本中起作用,并将其命名为 “EvilVideo”。研究人员 Lukas Stefanko 先后在6月26日和7月4日将该漏洞报送给 Telegram。Telegram 公司在7月4日回应称正在调查此事,之后在版本10.14.5中修复了该漏洞并在2024年7月11日发布。这意味着威胁行动者至少有五周的时间利用该漏洞。

虽然目前尚不清楚该漏洞是否已被用于攻击中,但ESET公司共享了 payload 使用的C2服务器,'infinityhackscharan.ddns[.]net'。BleepingComputer 在 VirusTotal 上发现了使用该C2的两个恶意 APK 文件伪装为 Avast Antivirus 或一个 'xHamster Premium Mod’。

Telegram 0day 利用

EvilVideo 0day 漏洞仅适用于安卓版 Telegram,可使攻击者创建特殊构造的 APK 文件,这些文件被发送给 Telegram 上的其它用户时会显示为嵌入式视频。

ESET 公司认为该利用通过 Telegram API 以编程的方式创建了一条信息,显示30秒的视频。在默认设置下,安卓版本的 Telegram app 自动下载媒体文件,因此频道参与人员在打开会话时就会在设备上收到该 payload。如用户已禁用自动下载,则仅在视频预览上点击一下就足以初始化文件下载。当用户尝试播放虚假视频时,Telegram 会提示使用外部播放器,从而可能导致收件人点击“打开”按钮并执行该 payload。

接着,需要完成另外一步,即受害者必须从设备设置中启用安装未知应用,使恶意 APK 文件安装到设备上。尽管威胁行动者声称该利用是“一次点击”,但实际上它要求多次点击、步骤和具体设置才能在受害者设备上执行恶意 payload,从而降低成功攻击的风险。研究人员在 Telegram 的 web 客户端和 Desktop 上测试了该利用,发现由于该 payload 被当作 MP4 视频文件处理,因此并不适用。

Telegram 在10.14.5版本中发布的修复方案在预览中正确显示 APK 文件,因此收件人不再受骗。如用户最近收到要求外部app 通过 Telegram 进行播放,使用移动安全套件扫描文件系统以定位和删除payload。一般而言,Telegram 视频文件存储在 '/storage/emulated/0/Telegram/Telegram Video/' (内部存储)或 '/storage//Telegram/Telegram Video/' (外部存储)。ESET 还分享了相关演示视频。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

Telegram 修复Windows 版中的0day漏洞

Telegram 和 AWS等电商平台用户遭供应链攻击

如何操纵通过 WhatsApp 和 Telegram 发送的媒体文件?

原文链接

https://www.bleepingcomputer.com/news/security/telegram-zero-day-allowed-sending-malicious-android-apks-as-videos/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   

 觉得不错,就点个 “在看” 或 "赞” 吧~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2