'EvilVideo' olarak adlandırılan Android sıfır gün güvenlik açığı için bir telgraf, saldırganların video dosyaları olarak gizlenmiş kötü niyetli Android APK yükleri göndermesine izin verdi.
'Ancryno' adlı bir tehdit oyuncusu ilk olarak Telegram Zero-Day istismarını 6 Haziran 2024'te Rusça konuşan XSS hack forumu üzerine bir yazıda satmaya başladı ve kusurun telgraf v10.14.4 ve daha büyük bir bölümünde var olduğunu belirtti.
ESET araştırmacıları, bir POC gösterisinin halka açık bir telgraf kanalında paylaşıldıktan sonra kusurları keşfetti ve kötü niyetli yükü elde etmelerine izin verdi.
ESET, istismarın telgraf v10.14.4 ve üstü olarak çalıştığını doğruladı ve 'Evilvideo' olarak adlandırdı. ESET araştırmacısı Lukas Stefanko, 26 Haziran'da ve tekrar 4 Temmuz 2024'te Telegram'a karşı kusuru sorumlu bir şekilde açıkladı.
Telegram 4 Temmuz'da yanıt verdi, raporu araştırdıklarını ve daha sonra 11 Temmuz 2024'te piyasaya sürülen 10.14.5 sürümündeki güvenlik açığını düzeltti.
Bu, tehdit aktörlerinin yamalanmadan önce sıfır günden yararlanmak için en az beş haftası olduğu anlamına gelir.
Kusurun saldırılarda aktif olarak kullanılıp kullanılmadığı belirsiz olsa da, ESET 'InfinityHackscharan.dddns [.] Net' adresindeki yükler tarafından kullanılan bir komut ve kontrol sunucusunu (C2) paylaştı.
BleepingComputer, virustotal [1, 2] 'de avast antivirüs veya' XHamster Premium mod 'gibi davranan C2'yi kullanarak iki kötü amaçlı APK dosyası buldu.
EvilVideo Zero-Day Flaw sadece Android için Telegram üzerinde çalıştı ve saldırganların Telegram'daki diğer kullanıcılara gönderildiğinde gömülü videolar olarak görünen özel hazırlanmış APK dosyaları oluşturmasına izin verdi.
ESET, istismarın 30 saniyelik bir video gösterdiği görünen bir mesaj oluşturmak için Telegram API'sını kullandığına inanıyor.
Varsayılan ayarında, Android'deki Telegram uygulaması medya dosyalarını otomatik olarak indirir, böylece kanal katılımcıları konuşmayı açtıktan sonra cihazlarında yükü alır.
Otomatik indirimi devre dışı bırakan kullanıcılar için, dosya indirmesini başlatmak için video önizlemesine tek bir dokunuş yeterlidir.
Kullanıcılar sahte videoyu oynatmaya çalıştıklarında Telegram, alıcıların "Aç" düğmesine dokunmasına ve yükü yürütmesine neden olabilecek harici bir oynatıcı kullanmayı önerir.
Ardından, ek bir adım gereklidir: Mağdur, cihaz ayarlarından bilinmeyen uygulamaların yüklenmesini sağlayarak, kötü amaçlı APK dosyasının cihaza yüklemesine izin vermelidir.
Tehdit oyuncusu, istismarın "tek tıklama" olduğunu iddia etse de, bir kurbanın cihazında kötü amaçlı bir yükün yürütülmesi için birden fazla tıklama, adım ve belirli ayarlar gerektirmesi, başarılı bir saldırı riskini önemli ölçüde azaltır.
ESET, Telegram'ın web istemcisi ve Telegram masaüstünde istismar test etti ve yükün MP4 video dosyası olarak ele alındığı için orada çalışmadığını buldu.
Telegram'ın 10.14.5 sürümündeki düzeltmesi artık APK dosyasını önizlemede doğru bir şekilde görüntüler, böylece alıcılar artık video dosyaları olarak görünen şeyle aldatılamaz.
Yakın zamanda Telegram üzerinden oynamak için harici bir uygulama isteyen video dosyaları aldıysanız, yükleri cihazınızdan bulmak ve kaldırmak için bir mobil güvenlik paketi kullanarak bir dosya sistemi taraması yapın.
Tipik olarak, Telegram video dosyaları '/depolama/taklit/0/telgraf/telgraf video/' (dahili depolama) veya '/depolama // telgraf/telgraf video/' (harici depolama) 'da saklanır.
ESET, aşağıda izlenebilen telgraf sıfır gün istismarını gösteren bir video paylaştı.
Bir telgraf sözcüsü BleepingComputer'a istismarla ilgili aşağıdaki ifadeyi gönderdi:
Bu istismar telgrafta bir güvenlik açığı değildir. Kullanıcıların videoyu açmasını, Android güvenlik ayarlarını ayarlamasını ve ardından şüpheli görünümlü bir "medya uygulaması" nı manuel olarak yüklemesini gerektirir.
5 Temmuz'da bu istismar hakkında bir rapor aldık ve Telegram'ın tüm sürümlerinde kullanıcıları korumak için 9 Temmuz'da bir sunucu tarafı düzeltmesi konuşlandırıldı. - Telegram Sözcüsü
Windows MSHTML Sıfır Yazma Saldırılarında Bir Yıldan Boy Kullanılan Sıfır Gün
Microsoft Temmuz 2024 Patch Salı 142 Kusur, 4 Sıfır Gün
Google Pixel 6 Serisi Telefonlar Fabrika Sıfırlamasından Sonra Tuğla
Rafel Rat fidye yazılımı saldırılarında modası geçmiş Android telefonları hedefliyor
Yeni Medusa Kötü Yazılım Varyantları Yedi Ülkede Android Kullanıcıları Hedef
Kaynak: Bleeping Computer