EvilVideo - Lỗ hổng zero-day trên Telegram cho phép gửi APK Android độc hại dưới dạng video
Just a SOC Analyst ^^
Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng zero-day có tên EvilVideo nhắm vào ứng dụng Telegram dành cho Android. Nó cho phép kẻ tấn công gửi payload Android độc hại qua Telegram, ngụy trang chúng dưới dạng tệp đa phương tiện.
1. Thông tin về lỗ hổng
Ngày 6/6/2024, một tài khoản có tên là Ancryno đã đăng bán công cụ khai thác zero-day của Telegram, trong một bài đăng trên diễn đàn hacking XSS của Nga, và nói rằng lỗ hổng tồn tại trong Telegram v10.14.4 trở lên.
Các nhà nghiên cứu của ESET sau đó đã phát hiện ra thông tin chi tiết về lỗ hổng sau khi PoC được chia sẻ trên kênh Telegram công khai, và đặt tên nó là EvilVideo.
Telegram đã có phản hồi vào ngày 4/7, cho biết họ đang điều tra báo cáo và đã phát hành bản vá trong phiên bản 10.14.5, phát hành vào ngày 11/7. Điều này đồng nghĩa với việc kẻ tấn công có ít nhất 5 tuần để khai thác lỗ hổng zero-day trước khi nó được vá.
2. Phân tích kỹ thuật
Các nhà nghiên cứu bảo mật xác nhận rằng lỗ hổng này hoạt động trên các phiên bản Telegram 10.14.4 trở lên. Nguyên nhân xảy ra lỗ hổng này có thể là payload độc hại mà kẻ tấn công sử dụng được tạo bằng API Telegram, nhằm mục đích tải lên các tệp đa phương tiện được chế tạo đặc biệt, khiến payload độc hại xuất hiện dưới dạng video dài 30 giây thay vì dạng binary. Khi chia sẻ trong cuộc trò chuyện, payload này sẽ xuất hiện dưới dạng video preview.
Mặc định, Telegram sẽ tự động tải xuống các tệp phương tiện, khiến người dùng bị khai thác EvilVideo bằng cách tải xuống các file độc hại. Khi cố gắng bật video giả, Telegram sẽ đề xuất sử dụng trình phát bên ngoài, khiến người dùng vô tình cài đặt ứng dụng độc hại.
Nhưng ở bước này, ứng dụng độc hại vẫn chưa được cài đặt, và nạn nhân cần thực hiện thêm một bước nữa: kích hoạt tính năng cho phép cài đặt các ứng dụng nguồn không xác định.
Mặc dù kẻ tấn công tuyên bố rằng việc khai thác là "one-click", nhưng thực tế là nó yêu cầu khá nhiều bước để có thể cài đặt phần mềm độc hại trên thiết bị của nạn nhân. Điều đó giúp giảm đáng kể nguy cơ khai thác lỗ hổng thành công.
Các thử nghiệm trên Telegram Web và Telegram Desktop cho thấy rằng lỗ hổng không hoạt động vì payload được coi là tệp video MP4. Bản vá của Telegram trong phiên bản 10.14.5 hiện hiển thị chính xác đuôi mở rộng APK trong bản preview, do đó người dùng không còn bị lừa tải xuống video độc hại nữa.
3. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị một số cách để giảm thiểu rủi ro cũng như là tác động của lỗ hổng EvilVideo:
Cập nhật phần mềm: Nhanh chóng cập nhật Telegram lên phiên bản
10.14.5.Đào tạo nhận thức bảo mật: Đào tạo nhân viên về các mối đe dọa bảo mật, không click vào các đường link, các file đáng ngờ.
Kiểm tra lại thiết bị: Thực hiện quét hệ thống file bằng các phần mềm bảo mật di động để xóa payload độc hại khỏi thiết bị.
4. Danh sách IOCs liên quan tới EvilVideo
Files
| SHA-1 | Filename | Detection | Description |
| F159886DCF9021F41EAA2B0641A758C4F0C4033D | Teating.apk | Android/Spy.SpyMax.T | EvilVideo payload |
Network
| IP | Domain | Hosting provider | First seen | Details |
| 183.83.172[.]232 | infinityhackscharan.ddns[.]net | Administrator Beam Cable System | 2024‑07‑16 | C&C server of EvilVideo payload. |
5. Tham khảo
Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android
https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/ESET Research discovers EvilVideo: Telegram app for Android targeted by zero-day exploit sending malicious videos
https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-discovers-evilvideo-telegram-app-for-android-targeted-by-zero-day-exploit-sending-malicious-videos/Telegram zero-day allowed sending malicious Android APKs as videos
https://www.welivehttps://www.bleepingcomputer.com/news/security/telegram-zero-day-allowed-sending-malicious-android-apks-as-videos/
