Компанія ESET — лідер у галузі інформаційної безпеки — виявила загрозу EvilVideo, націлену на користувачів Telegram для Android. Шкідливий компонент поширюється під виглядом відео через групи та чати Telegram, використовуючи уразливість у популярному додатку.
«Ми виявили, що експлойт EvilVideo рекламується на підпільному форумі. У дописі продавець показує скріншоти та відеотестування експлойту в загальнодоступному Telegram-каналі. Нам вдалося ідентифікувати цей канал, на якому був все ще доступний експлойт. Це дозволило отримати шкідливий компонент для подальшої перевірки», — пояснює Лукаш Штефанко, дослідник ESET.
Аналіз експлойту (шкідливий код, який використовує уразливості в системах) дослідниками ESET показав, що він розгортається у Telegram версії 10.14.4 та нижче. Шкідливий компонент, ймовірно, створено за допомогою Telegram API, оскільки він дозволяє завантажувати спеціально створені мультимедійні файли в чати або канали Telegram. Ймовірно, компонент відображає програму для Android у режимі попереднього перегляду мультимедійного файлу, а не як вкладення. Після надсилання в чат загроза відображається як 30-секундне відео.
За замовчуванням медіафайли, отримані через Telegram, завантажаються автоматично. Це означає, що користувачі з увімкненою опцією автоматично завантажуватимуть шкідливий компонент відразу після відкриття чату з ним. Якщо вимкнути цей параметр вручну, шкідливий компонент все одно можна завантажити, натиснувши кнопку для завантаження відео.
При спробі відтворення відео Telegram відображає повідомлення про те, що не може зробити це, а натомість пропонує використовувати зовнішній програвач. Однак, якщо користувач натисне кнопку «Відкрити» в повідомленні, йому буде запропоновано встановити шкідливу програму, замасковану під сторонній додаток для відображення відео.
Після виявлення уразливості 26 червня 2024 року ESET повідомила про це компанію Telegram, але на той час не отримала відповіді. Після цього 4 липня спеціалісти ESET спробували зв’язатися знову і цього разу отримали відповідь від Telegram з підтвердженням, що її команда досліджує EvilVideo. Telegram вирішила проблему, випустивши 11 липня версію 10.14.5. Варто зазначити, що уразливість вплинула на всі версії Telegram для Android до 10.14.4.
У зв’язку з небезпекою слід якнайшвидше оновити Telegram до актуальної версії, не завантажувати підозрілі програми на свій пристрій, натомість використовувати лише перевірені додатки з офіційних магазинів. Крім того, варто слідкувати за дозволами, які ви надаєте програмам, та встановити рішення для захисту ваших комп’ютерів та мобільних пристроїв від різних загроз.
