一个名为“EvilVideo”的Telegram安卓版零日漏洞，允许攻击者将恶意的安卓APK有效负载伪装成视频文件发送。

6月6日，威胁行为者“Ancryno”在XSS俄语黑客论坛上发帖，首次销售Telegram零日漏洞利用工具，称此漏洞存在于Telegram v10.14.4及更早版本中。

欧洲安全厂商ESET的研究人员在一个公共Telegram频道上，分享概念验证（PoC）演示后发现了该漏洞，藉此获取了恶意有效负载。

图：威胁行为者在黑客论坛上出售漏洞利用工具

ESET确认该漏洞在Telegram v10.14.4及更早版本中有效，并将其命名为“EvilVideo”。ESET研究员Lukas Stefanko于6月26日和7月4日两次向Telegram负责任地披露了该漏洞。

Telegram于7月4日回应称，正在调查上报的漏洞，并在7月11日发布的10.14.5版本中修补了该漏洞。

这意味着威胁行为者至少有五周的时间，可以利用该零日漏洞进行攻击。

目前尚不清楚该漏洞是否在攻击中被积极利用，ESET分享了恶意有效负载使用的C2服务器地址“infinityhackscharan.ddns[.]net”。

外媒BleepingComputer在VirusTotal上发现了两个使用该C2的恶意APK文件，它们伪装成Avast Antivirus或“xHamster Premium Mod”。

Telegram零日漏洞利用情况

EvilVideo零日漏洞仅在Telegram安卓版上有效。该漏洞允许攻击者创建特制的APK文件。当这些文件被发送给其他Telegram用户时，会显示为嵌入视频。

ESET认为，该漏洞利用了Telegram API以编程方式创建信息。信息看似一条30秒长的视频。

图：APK文件预览为30秒视频片段

在默认设置下，安卓上的Telegram应用会自动下载媒体文件。因此频道参与者一旦打开对话就会在设备上收到有效负载。

即便已禁用自动下载，用户只要轻触视频预览就会开始下载文件。

当用户尝试播放假视频时，Telegram会建议使用外部播放器。在这种情况下，接收者可能会点击“打开”按钮并执行有效负载。

图：启动外部视频播放器的提示

接下来还需要额外一步：受害者必须在设备设置中启用安装未知应用程序，允许恶意APK文件在设备上安装。

图：需要批准APK安装的步骤

尽管威胁行为者声称漏洞可“一键式”利用。但是，由于需要多次点击、多个步骤，以及特定设置才能在受害者设备上执行恶意有效负载，这大大降低了攻击成功的风险。

ESET在Telegram的网页客户端和Telegram桌面版上测试了该漏洞，发现它在这些平台上不起作用，因为有效负载被视为MP4视频文件。

Telegram在10.14.5版中对漏洞进行了修复，现在能正确显示APK文件的预览，因此接收者不再会被伪装成视频的文件所欺骗。

如果您最近通过Telegram收到要求使用外部应用播放的视频文件，请使用移动安全套件扫描文件系统，以定位并移除设备上的有效负载。

通常，Telegram视频文件存储在“/storage/emulated/0/Telegram/Telegram Video/”（内部存储）或“/storage/<sd卡id>/Telegram/Telegram Video/”（外部存储）中。

参考资料：https://www.bleepingcomputer.com/news/security/telegram-zero-day-allowed-sending-malicious-android-apks-as-videos/

来源：安全内参