ESET svela EvilVideo, exploit zero-day dedicato all’app Telegram per Android che consente agli aggressori di inviare e condividere payload che appaiono come file multimediali. La vulnerabilità è apparsa in vendita a un prezzo non specificato su un forum underground di giugno 2024.
Lukáš Štefanko, ricercatore ESET che ha scoperto l’exploit di Telegram
Abbiamo individuato l’exploit pubblicizzato su un forum clandestino. Qui il venditore mostrava schermate e un video di test dell’exploit in un canale Telegram pubblico. Siamo riusciti a identificare il canale in questione, con l’exploit ancora disponibile. Questo ci ha permesso di testarlo direttamente.
File multimediali realizzati ad hoc
L’analisi dell’exploit ha rivelato che il codice opera sulle versioni di Telegram 10.14.4 e precedenti. Questo exploit sembra sfruttare l’API di Telegram, che permette agli sviluppatori di caricare file multimediali specificamente realizzati nelle chat o nei canali. L’exploit sfrutta la capacità di mostrare un payload Android come anteprima multimediale, anziché come allegato binario. Quando viene condiviso in chat, il payload dannoso appare come un video di 30 secondi.
La vulnerabilità zero-day EvilVideo
Per impostazione predefinita, Telegram scarica automaticamente i file multimediali ricevuti. Gli utenti con questa opzione abilitata scaricheranno automaticamente il payload dannoso una volta aperta la conversazione in cui è stato condiviso. L’opzione di download automatico può essere disattivata manualmente. In tal caso, il payload può ancora essere scaricato toccando il pulsante di download del video condiviso. Quando l’utente tenta di riprodurre il “video”, Telegram mostra un messaggio di errore che indica l’impossibilità di riprodurre il video e suggerisce di utilizzare un lettore esterno. Tuttavia, se l’utente tocca il pulsante Apri nel messaggio visualizzato, verrà invitato a installare un’app dannosa camuffata da app esterna.
Indagini interne per fermare l’exploit
Dopo aver scoperto la vulnerabilità di EvilVideo il 26 giugno 2024, ESET ha seguito la policy di divulgazione coordinata e l’ha segnalata a Telegram, ma inizialmente non ha ricevuto risposta. ESET ha inoltrato nuovamente la segnalazione il 4 luglio e, questa volta, Telegram ha confermato che erano in corso indagini interne su EvilVideo. Il problema è poi stato risolto con la distribuzione della versione 10.14.5, rilasciata l’11 luglio. La vulnerabilità riguarda tutte le versioni di Telegram per Android fino alla 10.14.4, ma è stata corretta a partire dalla versione 10.14.5.