ESET Research Los investigadores de ESET descubrieron un exploit de día cero para Telegram para Android que permite enviar archivos maliciosos disfrazados de videos 22 Jul 2024 • , 6 min. de lectura Los investigadores de ESET descubrieron un exploit de día cero que afecta a Telegram para Android, que apareció a la venta por un precio no especificado en una publicación de un foro clandestino del 6 de junio de 2024. Al usar el exploit para abusar de una vulnerabilidad que llamamos EvilVideo, los atacantes podrían compartir cargas útiles maliciosas de Android a través de canales, grupos y chat de Telegram, y hacer que aparezcan como archivos multimedia. Pudimos localizar un ejemplo del exploit, lo que nos permitió analizarlo más a fondo y reportarlo a Telegram el 26 de junio de 2024. El 11 de julio, lanzaron una actualización que corrige la vulnerabilidad en las versiones 10.14.5 y superiores de Telegram. La Figura 1 es una demostración en video y una explicación de la vulnerabilidad EvilVideo. Figura 1. Explicación de la vulnerabilidad EvilVideo Puntos clave de la publicación del blog: El 26 de junio de 2024, en un foro clandestino, encontramos un anuncio de un exploit de día cero que apunta a Telegram para Android. Llamamos a la vulnerabilidad que explota EvilVideo y la informamos a Telegram; su equipo la parchó el 11 de julio de 2024. EvilVideo permite a los atacantes enviar cargas útiles maliciosas que aparecen como archivos de video en Telegram para Android sin parchear. El exploit solo funciona en las versiones 10.14.4 y anteriores de Telegram para Android. Descubrimiento Encontramos el exploit anunciado para la venta en un foro clandestino: consulte la Figura 2. Figura 2. Publicación en un foro clandestino En la publicación, el vendedor muestra capturas de pantalla y un video de la prueba del exploit en un canal público de Telegram. Pudimos identificar el canal en cuestión, con el exploit aún disponible. Eso nos permitió tener en nuestras manos la carga útil y probarlo nosotros mismos. Análisis Nuestro análisis del exploit reveló que funciona en las versiones 10.14.4 y anteriores de Telegram. Especulamos que es muy probable que la carga útil específica se haya creado utilizando la API de Telegram, ya que permite a los desarrolladores cargar archivos multimedia específicamente diseñados a los chats o canales de Telegram de manera programática. El exploit parece depender de que el actor de la amenaza pueda crear una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga útil maliciosa aparece como un video de 30 segundos (Figura 3). Figura 3. Ejemplo del exploit De forma predeterminada, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. Esto significa que los usuarios con la opción habilitada descargarán automáticamente la carga útil maliciosa una vez que abran la conversación donde se compartió. La opción se puede deshabilitar manualmente; en ese caso, la carga útil aún se puede descargar tocando el botón de descarga en la esquina superior izquierda del video compartido, como se ve en la Figura 3. Si el usuario intenta reproducir el «video», Telegram muestra un mensaje de que no puede reproducirlo y sugiere usar un reproductor externo (ver Figura 4). Esta es una advertencia original de Telegram que encontramos en el código fuente de la aplicación legítima de Telegram para Android; no está diseñado ni impulsado por la carga útil maliciosa. Figura 4. Advertencia de Telegram de que no puede reproducir el «video». Sin embargo, si el usuario toca el botón Abrir en el mensaje que se muestra, se le solicitará que instale una aplicación maliciosa disfrazada como el reproductor externo mencionado anteriormente. Como se ve en la Figura 5, antes de la instalación, Telegram le pedirá al usuario que habilite la instalación de aplicaciones desconocidas. Figura 5. Telegram solicita al usuario que le permita instalar aplicaciones desconocidas En este punto, la aplicación maliciosa en cuestión ya se ha descargado como el aparente archivo de video, pero con la extensión .apk. Curiosamente, es la naturaleza de la vulnerabilidad la que hace que el archivo compartido parezca un video: la aplicación maliciosa real no fue alterada para hacerse pasar por un archivo multimedia, lo que sugiere que el proceso de carga probablemente fue explotado. La solicitud de instalación de la aplicación maliciosa se puede ver en la Figura 6. Figura 6. Solicitud para instalar la carga útil maliciosa, detectada como Android/Spy.SpyMax.T después de la explotación Desafortunadamente, no pudimos replicar el exploit, solo inspeccionar y verificar la muestra compartida por el vendedor. Telegram Web y Desktop Aunque el payload fue creado únicamente para atacar a Telegram para Android, aun así intentamos probar su comportamiento en otros clientes de Telegram. Probamos tanto el cliente de Telegram Web como el cliente de Telegram Desktop para Windows; como se esperaba, el exploit no funcionó en ninguno de ellos. En el caso de Telegram Web, después de que intentamos reproducir el «video», el cliente mostró un mensaje de error diciendo que intentáramos abrir el video con la aplicación de escritorio en su lugar (ver Figura 7). Descargar el archivo adjunto manualmente reveló que su nombre y extensión era Teating.mp4. Si bien el archivo en sí era en realidad un binario ejecutable de Android (APK), Telegram lo trató como un archivo MP4 impidió que el exploit funcionara: para que tuviera éxito, el archivo adjunto tendría que haber tenido la extensión .apk. Algo muy similar sucedió con el cliente de Telegram Desktop para Windows: el archivo descargado se llamaba Teating.apk.mp4, por lo que una vez más era un archivo binario APK con una extensión .mp4. Esto sugiere que incluso si un atacante creara un ejecutable de Windows para ser utilizado en lugar del APK de Android, aún sería tratado como un archivo multimedia y el exploit no funcionaría. Figura 7. Mensaje de error de Telegram Web al activar el exploit Actor de amenazas Si bien no sabemos mucho sobre el actor de amenazas, logramos encontrar otro servicio sospechoso que brindan según el identificador de Telegram que el vendedor compartió en su publicación en el foro. Además del exploit, han estado usando el mismo foro clandestino para publicitar un criptor como servicio de Android que, según ellos, es completamente indetectable (FUD) desde el 11 de enero de 2024. La publicación del foro se puede ver en la Figura 8. Figura 8. Publicación del foro clandestino que anuncia un criptor como servicio de Android Informe de vulnerabilidad Después de descubrir la vulnerabilidad de EvilVideo el 26 de junio de 2024, seguimos nuestra política de divulgación coordinada y lo informamos a Telegram, pero no recibimos respuesta en ese momento. Reportamos la vulnerabilidad nuevamente el 4 de julio, y esa vez, Telegram se comunicó con nosotros el mismo día para confirmar que su equipo estaba investigando EvilVideo. Solucionaron el problema, enviando la versión 10.14.5 el 11 de julio y nos informaron por correo electrónico. La vulnerabilidad afectó a todas las versiones de Telegram para Android hasta 10.14.4, pero ha sido parcheada a partir de la versión 10.14.5. Como verificamos, la vista previa multimedia del chat ahora muestra correctamente que el archivo compartido es una aplicación (Figura 9) y no un video. Figura 9. Chat de Telegram versión 10.14.5 que muestra correctamente la naturaleza del archivo binario compartido Conclusión Descubrimos un exploit de día cero de Telegram para Android a la venta en un foro clandestino. La vulnerabilidad que explota permite enviar cargas útiles maliciosas que parecen archivos multimedia a través del chat de Telegram. Si un usuario intenta reproducir el aparente video, recibirá una solicitud para instalar una aplicación externa, que en realidad instala la carga útil maliciosa. Afortunadamente, la vulnerabilidad se ha corregido a partir del 11 de julio de 2024, después de que la informamos a Telegram. Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, contáctenos en threatintel@eset.com ESET Research ofrece informes de inteligencia APT privados y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de Inteligencia de Amenazas de ESET. Indicadores de Compromiso (IoC) Puede encontrar una lista completa de Indicadores de Compromiso (IoC) y muestras en nuestro repositorio de GitHub. Archivos SHA-1 Nombre de archivo Detección Descripción F159886DCF9021F41EAA2B0641A758C4F0C4033D Teating.apk Android/Spy.SpyMax.T Carga útil EvilVideo. Red IP Dominio Proveedor de alojamiento Visto por primera vez Detalles 183.83.172[.]232 hacks infinitos charan.ddns[.]Servidor C&C de la carga útil EvilVideo del sistema Beam Cable del administrador de red 2024‑07‑16 Técnicas MITRE ATT&CK Esta tabla se creó utilizando la versión 15 de las técnicas móviles MITRE ATT&CK. ID de táctica Nombre Descripción Acceso inicial T1664 Explotación para acceso inicial La vulnerabilidad EvilVideo puede ser abusada por malware de Android para lograr acceso inicial al dispositivo. Ejecución T1658 Explotación para ejecución del cliente La vulnerabilidad EvilVideo engaña a la víctima para que instale una aplicación maliciosa que suplanta un archivo multimedia.