Уязвимость в Telegram для Android позволяла скрывать файлы в поддельных видеороликах

Уязвимость нулевого дня в приложении Telegram для Android позволял злоумышленникам отправлять вредоносные файлы, выдаваемые за видео, сообщают исследователи кибербезопасности из ESET.

Файлы могли быть отправлены ничего не подозревающему пользователю Android в виде прямого сообщения или сообщения в группе или канале. Поскольку приложение Telegram для Android по умолчанию автоматически загружает медиафайлы, любой пользователь приложения Telegram для Android, не отключивший эту функцию, мог стать уязвимым для вредоносного файла, который загрузился бы сразу после открытия беседы.

Нажатие на поддельное видео вызывало настоящее всплывающее сообщение об ошибке Telegram: «Приложение не смогло воспроизвести это видео. Попробуйте воспроизвести его с помощью внешнего плеера?». После этого у пользователя был выбор: отменить или открыть файл. Однако если пользователь нажимал «Открыть», ему также приходилось разрешать установку файла Android Package Kit (APK) из приложения Telegram. Таким образом, пользователям приходилось предпринимать ряд действий, чтобы запустить вредоносный файл, но его маскировка и неправильная классификация в Telegram все равно вызывали очевидную обеспокоенность.

Компания ESET обнаружила эксплойт EvilVideo, который рекламировался для продажи на одном из форумо, и сообщила о нем в Telegram в прошлом месяце. Хотя неизвестно, попался ли кто-то на удочку мошенников, Telegram выпустил исправление в обновлении Android 10.14.5 11 июля. Возможно, уязвимость была связана с проблемой загрузки в приложении для Android, поскольку файлы APK теперь,  после исправления, четко обозначаются.

Эта уязвимость не затронула приложения для iOS и Windows. Но учитывая, что приложение Telegram для Android было загружено более миллиарда раз, это все еще огромная база потенциальных жертв.