Một tác nhân đe dọa có biệt danh 'Ancryno' đã bán lỗ hổng bảo mật zero-day của Telegram từ ngày 6 tháng 6 năm 2024 trong một bài đăng trên diễn đàn tội phạm mạng, cho biết lỗ hổng này tồn tại trong Telegram v10.14.4 và các phiên bản cũ hơn.
Các nhà nghiên cứu của ESET đã phát hiện ra lỗ hổng bảo mật sau khi mã khai thác bằng chứng khái niệm (PoC) được chia sẻ trên kênh Telegram công khai.
ESET xác nhận rằng lỗ hổng này hoạt động trên Telegram phiên bản v10.14.4 trở về trước và đặt tên là 'EvilVideo'. Nhà nghiên cứu Lukas Stefanko của ESET đã tiết lộ lỗ hổng này cho Telegram vào ngày 26 tháng 6 và một lần nữa vào ngày 4 tháng 7 năm 2024.
Telegram phản hồi vào ngày 4 tháng 7 rằng họ đang điều tra báo cáo và sau đó phát hành bản vá cho lỗ hổng bảo mật trong phiên bản 10.14.5 vào ngày 11 tháng 7 năm 2024. Điều này có nghĩa là kẻ tấn công có ít nhất năm tuần để khai thác lỗ hổng zero-day trước khi nó được vá.
Không rõ liệu lỗ hổng này có bị khai thác trong các cuộc tấn công thực tế hay không. ESET đã chia sẻ một máy chủ chỉ huy và kiểm soát (C2) được phần mềm độc hại sử dụng tại 'infinityhackscharan.ddns[.]mạng lưới.'
BleepingComputer đã phát hiện hai tệp APK độc hại sử dụng C2 đó trên VirusTotal [1, 2] ngụy trang thành Avast Antivirus hoặc 'xHamster Premium Mod.'
Lỗ hổng EvilVideo chỉ hoạt động trên Telegram dành cho Android và cho phép kẻ tấn công tạo các tệp APK độc hại, khi gửi cho người dùng Telegram khác, sẽ xuất hiện dưới dạng video nhúng.
ESET cho biết lỗ hổng bảo mật này sử dụng Telegram API để tạo ra một tin nhắn trông giống như một video dài 30 giây.
Theo mặc định, ứng dụng Telegram trên Android sẽ tự động tải xuống các tệp phương tiện để những người tham gia kênh sẽ nhận được nội dung trên thiết bị của họ khi họ mở cuộc trò chuyện.
Đối với người dùng đã tắt tính năng tự động tải xuống, chỉ cần chạm vào bản xem trước video một lần là đủ để bắt đầu tải tệp xuống.
Khi người dùng cố gắng phát video giả, Telegram gợi ý sử dụng trình phát bên ngoài, có thể nhắc người nhận chạm vào nút “Mở” và kích hoạt tệp tin độc hại.
Tiếp theo, nạn nhân cần thực hiện thêm một hành động nữa là cho phép cài đặt các ứng dụng không xác định từ cài đặt thiết bị để APK độc hại có thể được cài đặt trên thiết bị.
Trong khi tác nhân đe dọa tuyên bố rằng lỗ hổng này chỉ cần “một cú nhấp chuột”, thực tế là nó yêu cầu nhiều cú nhấp chuột, nhiều bước và nhiều cài đặt cụ thể để thực thi phần mềm độc hại trên thiết bị của nạn nhân làm giảm đáng kể nguy cơ tấn công thành công.
ESET đã thử nghiệm lỗ hổng này trên trình duyệt web Telegram và Telegram Desktop và phát hiện ra rằng nó không hoạt động ở đó vì dữ liệu được xử lý dưới dạng tệp video MP4.
Bản sửa lỗi của Telegram trong phiên bản 10.14.5 hiển thị chính xác tệp APK trong bản xem trước, do đó người nhận không còn bị đánh lừa bởi thứ trông giống như tệp video nữa.
Nếu gần đây bạn nhận được các tệp video yêu cầu ứng dụng bên ngoài để phát qua Telegram, hãy quét hệ thống tệp của bạn bằng công cụ bảo mật di động để xác định vị trí và xóa các tệp khỏi thiết bị.
Thông thường, các tệp video Telegram được lưu trữ trong '/storage/emulated/0/Telegram/Telegram Video/' (bộ nhớ trong) hoặc trong '/storage//Telegram/Telegram Video/' (bộ nhớ ngoài).
Link nguồn: https://cafef.vn/lo-hong-zero-day-cua-telegram-cho-phep-tin-tac-gui-tep-apk-android-doc-hai-duoi-dang-cac-video-188240728134650708.chn