O Telegram corrigiu uma vulnerabilidade de dia zero que permitia o envio de arquivos APK infectados sob o disfarce de vídeos

Especialistas em segurança cibernética descobriram uma vulnerabilidade de dia zero no mensageiro Telegram que permitia que invasores enviassem arquivos APK maliciosos disfarçados de arquivos de vídeo. A vulnerabilidade afetou usuários do Android e foi explorada com sucesso para espalhar malware.

Fonte da imagem: Dima Solomin/Unsplash

De acordo com o recurso BleepingComputer, no dia 6 de junho, no fórum de hackers XSS, um invasor com o apelido de Ancryno colocou à venda um exploit de dia zero (um método baseado em um ataque com vulnerabilidades de software anteriormente não identificadas) para o mensageiro Telegram. A vulnerabilidade, batizada de “EvilVideo”, foi descoberta pela ESET e afetou versões do aplicativo até 10.14.4 para usuários do Android.

Os invasores criaram arquivos APK especiais que, quando enviados via Telegram, apareceram como vídeos incorporados. Ao tentar reproduzir tal vídeo, o Telegram sugeriu o uso de um player externo, que poderia levar a vítima a clicar no botão “Abrir”, executando assim o código malicioso.

A ESET testou a exploração e confirmou sua funcionalidade. Nos dias 26 de junho e 4 de julho, especialistas da empresa relataram o problema à gestão do Telegram. Em resposta, no dia 11 de julho, o Telegram lançou a versão 10.14.5 do seu aplicativo, que corrigiu a vulnerabilidade. Embora um ataque bem-sucedido exigisse diversas ações por parte da vítima, os hackers tiveram pelo menos cinco semanas para explorar a vulnerabilidade antes de lançar um patch.

Curiosamente, apesar da afirmação dos hackers de “um clique”, o processo real requer várias etapas, reduzindo o risco de um ataque bem-sucedido. A ESET também testou a exploração no Telegram Desktop, mas não funcionou porque o arquivo malicioso foi tratado como um vídeo MP4 em vez de um arquivo APK.

A correção na versão 10.14.5 agora exibe corretamente os arquivos APK na visualização, eliminando a possibilidade de enganar os destinatários. A ESET recomenda que os usuários que receberam recentemente vídeos solicitando que você os abra usando um aplicativo externo verifiquem seu sistema de arquivos usando um software antivírus móvel para encontrar e remover arquivos maliciosos.

Como lembrete, os arquivos do Telegram são geralmente armazenados em “/storage/emulated/0/Telegram/Telegram Video/” (armazenamento interno) ou “/storage//Telegram/Telegram Video/” (armazenamento externo).