Investigadores han identificado una vulnerabilidad de día cero en la aplicación de mensajería Telegram para dispositivos Android que permitía a los atacantes enviar cargas maliciosas disfrazadas de archivos legítimos. La empresa ESET, con sede en Eslovaquia, denominó a esta vulnerabilidad como EvilVideo. Telegram solucionó el problema a principios de este mes en las versiones 10.14.5 y posteriores tras recibir el informe de los investigadores.
Los actores malintencionados tuvieron aproximadamente cinco semanas para explotar esta vulnerabilidad antes de que fuera parcheada. Sin embargo, ESET no ha confirmado si esta vulnerabilidad fue utilizada activamente. El exploit fue descubierto en un foro clandestino a principios de junio, donde fue vendido por un usuario bajo el nombre de “Ancryno”. El vendedor compartió capturas de pantalla y un vídeo demostrando el funcionamiento del exploit en un canal público de Telegram.
En las versiones no parcheadas de Telegram para Android, los atacantes podían enviar cargas maliciosas a través de canales, grupos y chats, haciéndolos parecer archivos multimedia. El exploit aprovechaba la configuración predeterminada de Telegram para descargar automáticamente archivos multimedia. Aunque esta opción puede desactivarse manualmente, el payload podría instalarse en el dispositivo si el usuario tocaba el botón de descarga en la esquina superior izquierda del archivo compartido.
Al intentar reproducir el «video», Telegram mostraba un mensaje indicando que no podía reproducirlo y sugería usar un reproductor externo. Los hackers disfrazaban una aplicación maliciosa como este reproductor externo. En la versión parcheada de Telegram, el archivo malicioso se muestra correctamente como una aplicación en lugar de un vídeo.
No está claro qué grupo de hackers o actores malintencionados estaba interesado en este exploit, cómo planeaban utilizarlo y cuán efectivo podría ser. La cuenta del foro clandestino identificada por ESET también ha promocionado malware de criptominería para Android como un servicio, alegando que es completamente indetectable.
