En un reciente hallazgo, el equipo de investigación de ESET, reconocido líder en detección proactiva de amenazas, ha descubierto un exploit zero-day que afecta a Telegram para Android. Este exploit permite a los atacantes enviar archivos maliciosos disfrazados de vídeos a través del chat de Telegram. La vulnerabilidad, identificada y reportada a Telegram por ESET, ha sido corregida en la versión 10.14.5, lanzada el 11 de julio de 2024. El exploit, detectado inicialmente a la venta en un foro clandestino, explota una falla que permite enviar payloads maliciosos que se presentan como archivos multimedia inofensivos.
El análisis del exploit realizado por ESET reveló que es eficaz en versiones de Telegram hasta la 10.14.4. Según los expertos, el payload específico podría haber sido creado utilizando la API de Telegram, que permite a los desarrolladores subir archivos multimedia de manera programática a chats o canales. “El exploit parece depender de que el actor de la amenaza genere una carga útil que muestre una aplicación de Android como una vista previa multimedia, no como un archivo binario”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. Este método engaña al usuario, haciéndole creer que está viendo un vídeo cuando en realidad está descargando una aplicación maliciosa.
El problema se ve agravado por la configuración predeterminada de Telegram, que descarga automáticamente los archivos multimedia. Esto significa que los usuarios con esta opción activada podrían descargar la carga maliciosa sin darse cuenta simplemente al abrir la conversación. Aunque existe una opción para desactivar la descarga automática, si el usuario intenta reproducir el “vídeo”, la carga se descargará automáticamente. Telegram muestra un mensaje que indica que no puede reproducir el vídeo y sugiere usar un reproductor externo, una advertencia legítima que ha sido malinterpretada por la carga maliciosa.
Una vez que el usuario hace clic en “Abrir”, se le pedirá que instale una aplicación disfrazada de reproductor externo. Telegram solicitará permisos para instalar aplicaciones de fuentes desconocidas, lo que facilita la instalación del malware, que en realidad se presenta como un archivo APK. A pesar de que ESET probó el exploit en otros clientes de Telegram, como Telegram Web y Telegram Desktop para Windows, la vulnerabilidad solo se manifiesta en la aplicación móvil. ESET también identificó otros servicios sospechosos anunciados en el mismo foro clandestino, incluyendo un cryptor-as-a-service para Android. La vulnerabilidad ha sido abordada en la versión 10.14.5, donde la vista previa del chat ahora identifica correctamente el archivo compartido como una aplicación en lugar de un vídeo.
Para mantenerse informado sobre las últimas noticias en seguridad informática, visite el portal de noticias de ESET: ESET – EvilVideo Exploit.
Léanos en nuestras páginas:
