ESET descubrió un exploit zero-day (ataque de día cero/ ataque contra una aplicación o sistema informático) de Telegram para Android que aprovecha una vulnerabilidad y permite a los atacantes enviar archivos maliciosos camuflados como videos.
En un comunicado, la compañía líder en detección proactiva de amenazas explicó que su equipo de investigación detectó que la vulnerabilidad que explota permite enviar payloads maliciosos que parecen archivos multimedia a través del chat de Telegram.
En este caso, si un usuario intenta reproducir el video aparente, recibirá una solicitud para instalar una aplicación externa, que en realidad instala la carga maliciosa.
La compañía de ciberseguridad apuntó que la vulnerabilidad está siendo corregida desde el 11 de julio, después de que ESET informara de ella a Telegram.
¿Cómo ataca?
De acuerdo con el equipo de investigación de ESET, el exploit funciona en las versiones de Telegram 10.14.4 y anteriores.
Se especula que es probable que el payload específico se haya creado utilizando la API de Telegram, ya que permite a los desarrolladores subir archivos multimedia creados específicamente a los chats o canales de Telegram mediante programación.
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación abundó que el exploit “parece depender de que el actor de la amenaza sea capaz de generar una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un video de 30 segundos”.
Añadió que por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente.
Esto significa que los usuarios con la opción activada descargarán automáticamente la carga maliciosa una vez que abran la conversación en la que se compartió. La opción se puede desactivar manualmente, en cuyo caso, la carga se puede descargar pulsando el botón de descarga situado en la esquina superior izquierda del video compartido.
Si el usuario intenta reproducir el video, la carga se descargará automáticamente.
“Si el usuario intenta reproducir el “video”, Telegram muestra un mensaje de que no puede reproducirlo y sugiere utilizar un reproductor externo. Se trata de una advertencia original de Telegram que encontramos en el código fuente de la aplicación legítima de Telegram para Android; no ha sido creada ni empujada por la carga maliciosa”, añadió el investigador de ESET.
En caso de que el usuario pulse el botón Abrir en el mensaje, se le pedirá que instale una aplicación maliciosa disfrazada como el reproductor externo. Antes de la instalación, Telegram pedirá al usuario que habilite la instalación de apps desconocidas.
En este punto, la app maliciosa en cuestión ya ha sido descargada como el aparente archivo de video, pero con la extensión .apk.
“Es la naturaleza de la vulnerabilidad la que hace que el archivo compartido parezca un video: la aplicación maliciosa real no se alteró para hacerse pasar por un archivo multimedia, lo que sugiere que lo más probable es que se aprovechara el proceso de carga“.
er
