Exploit Zero Day “EvilVideo” en Telegram para Android

Investigadores de ESET descubrieron un exploit de Zero Day, identificado como EvilVideo, en Telegram para Android. Esta falla podría permitir a atacantes remotos ejecutar código arbitrario en el dispositivo de la víctima a través de un video malicioso.

• EvilVideo: Es una vulnerabilidad en Telegram para Android, donde un atacante puede enviar cargas útiles de APK maliciosas, disfrazadas de archivos de video, que, al ser reproducidos por la víctima, ejecutan código malicioso en su dispositivo. Esta vulnerabilidad explota fallos en la gestión de archivos de video en Telegram, permitiendo que un archivo aparentemente inofensivo tome el control del sistema de la víctima.

En su configuración predeterminada, la aplicación Telegram en Android descarga automáticamente archivos multimedia, por lo que los participantes del canal reciben la carga útil en su dispositivo una vez que abren la conversación. Para los usuarios que han desactivado la descarga automática, un solo toque en la vista previa del video es suficiente para iniciar la descarga del archivo.

Cuando los usuarios intentan reproducir el video falso, Telegram sugiere utilizar un reproductor externo, lo que puede hacer que los destinatarios presionen el botón «Abrir» y ejecuten la carga útil. A continuación, se requiere un paso adicional: la víctima debe habilitar la instalación de aplicaciones desconocidas desde la configuración del dispositivo, permitiendo que el archivo APK malicioso se instale en el dispositivo.

Si bien el actor de la amenaza afirma que el exploit es «de un solo clic», el hecho de que requiera múltiples clics, pasos y configuraciones específicas para que se ejecute una carga maliciosa en el dispositivo de la víctima reduce significativamente el riesgo de un ataque exitoso.

Productos y versiones afectadas:

• Telegram para Android: Todas las versiones hasta la 10.14.4.

Solución:

• Telegram para Android: versión 10.14.5 o superior.

Recomendaciones:

• Actualizar Telegram para Android a la versión 10.14.5 o superior lo antes posible para mitigar los riesgos potenciales.
• Evitar descargar y abrir archivos multimedia de fuentes no confiables.
• Mantener el software de seguridad actualizado en todos los dispositivos Android.
• Desactivar las descargas automáticas de archivos para proteger de otras posibles amenazas.

Referencias:

• https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/
• https://github.com/eset/malware-ioc/tree/master/evilvideo
• https://www.bleepingcomputer.com/news/security/telegram-zero-day-allowed-sending-malicious-android-apks-as-videos