Sommario
Una vulnerabilità zero-day in Telegram per Android, denominata “EvilVideo”, ha permesso agli aggressori di inviare payload malevoli sotto forma di file APK Android mascherati da video. Questa falla, sfruttata da un attore chiamato “Ancryno”, è stata messa in vendita su un forum di hacking russo il 6 giugno 2024, e riguardava le versioni di Telegram v10.14.4 e precedenti.
Scoperta e correzione della vulnerabilità
I ricercatori di ESET hanno scoperto la falla dopo che una dimostrazione di prova di concetto (PoC) è stata condivisa su un canale pubblico di Telegram, permettendo loro di ottenere il payload malevolo. Hanno confermato che l’exploit funzionava su Telegram v10.14.4 e versioni precedenti, denominandolo “EvilVideo”. ESET ha segnalato responsabilmente la falla a Telegram il 26 giugno e di nuovo il 4 luglio 2024.
Telegram ha risposto il 4 luglio, affermando che stavano indagando sul rapporto e hanno poi risolto la vulnerabilità nella versione 10.14.5, rilasciata l’11 luglio 2024. Ciò significa che gli attori delle minacce hanno avuto almeno cinque settimane per sfruttare la zero-day prima che venisse corretta.
Funzionamento dell’Exploit EvilVideo
La vulnerabilità EvilVideo funzionava solo su Telegram per Android, permettendo agli aggressori di creare file APK appositamente costruiti che, quando inviati ad altri utenti su Telegram, apparivano come video incorporati. L’exploit utilizzava l’API di Telegram per creare un messaggio che mostrava un video di 30 secondi.
Su Telegram per Android, che per impostazione predefinita scarica automaticamente i file multimediali, i partecipanti al canale ricevevano il payload non appena aprivano la conversazione. Anche per gli utenti con il download automatico disabilitato, un singolo tocco sulla preview del video era sufficiente per avviare il download del file.
Quando gli utenti tentavano di riprodurre il video falso, Telegram suggeriva di utilizzare un lettore esterno, spingendo i destinatari a premere il pulsante “Apri” ed eseguire il payload. Infine, per installare il file APK malevolo, la vittima doveva abilitare l’installazione di app da fonti sconosciute nelle impostazioni del dispositivo.
Mitigazioni e raccomandazioni
ESET ha testato l’exploit sul client web di Telegram e su Telegram Desktop, scoprendo che non funzionava lì poiché il payload veniva trattato come un file video MP4. La correzione di Telegram nella versione 10.14.5 ora mostra correttamente il file APK nella preview, impedendo ai destinatari di essere ingannati da quelli che apparivano come file video.
Gli utenti che hanno recentemente ricevuto file video che richiedevano un’app esterna per essere riprodotti tramite Telegram sono invitati a eseguire una scansione del filesystem utilizzando una suite di sicurezza mobile per individuare e rimuovere i payload dai loro dispositivi. Tipicamente, i file video di Telegram sono memorizzati in ‘/storage/emulated/0/Telegram/Telegram Video/’ (memoria interna) o in ‘/storage/<ID della scheda SD>/Telegram/Telegram Video/’ (memoria esterna).
La vulnerabilità EvilVideo dimostra come anche le app di messaggistica più sicure possano essere sfruttate per scopi malevoli. È essenziale che gli utenti mantengano aggiornate le loro applicazioni e siano consapevoli dei rischi associati all’installazione di app da fonti sconosciute. La collaborazione tra ricercatori di sicurezza e fornitori di servizi è cruciale per identificare e mitigare rapidamente tali minacce.
