Telegram安卓零日漏洞允许伪装成视频发送恶意APK文件

ESET 的研究人员发现了一个名为 EvilVideo 的零日漏洞，该漏洞针对 Android 版的 Telegram 应用程序。该漏洞自 2024 年 6 月 6 日起在一个地下论坛上出售，它允许攻击者通过 Telegram 分享恶意的 Android 负载，并将它们伪装成多媒体文件。

ESET 的研究员 Lukas Stefanko 于 2024 年 6 月 26 日向 Telegram 报告了这一零日漏洞，随后又在 7 月 4 日再次报告。
该漏洞仅影响 Telegram 的 10.14.4 版本及更早版本，该公司于 2024 年 7 月 11 日发布了 10.14.5 及更高版本来修复这一漏洞。
卖家使用“Ancryno”这一昵称，在 XSS 黑客论坛上发布了该漏洞的广告。卖家展示了在公共 Telegram 频道上测试该漏洞的截图和视频。ESET 识别了该 Telegram 频道并获取了它。

在 Telegram 上利用 #EvilVideo 漏洞

我们发现了 Telegram for Android 的一个 0 日漏洞，该漏洞允许伪装成视频发送恶意应用。https://t.co/fb9FmhFJWV @ESETresearch @ESET pic.twitter.com/cLxUxnAaTB

—— Lukas Stefanko (@LukasStefanko) 2024 年 7 月 22 日

该漏洞很可能利用了 Telegram API 来上传精心设计的多媒体文件，使得负载看起来像一个 30 秒的视频，而不是二进制附件。在聊天中分享时，恶意负载会像一个视频预览一样出现。

默认情况下，Telegram 会自动下载媒体文件，这使得用户容易受到 EvilVideo 漏洞的攻击，该漏洞将恶意负载伪装成多媒体文件。当用户尝试播放这个伪造的视频时，Telegram 会建议使用外部播放器，从而诱导用户安装一个恶意应用。该漏洞利用了 Telegram 上传过程中的一个安全漏洞，使文件看起来像是一个视频。

ESET 的研究人员在 Telegram 的网页客户端和 Telegram Desktop 上测试了该漏洞，他们发现漏洞无法工作，因为负载被视为多媒体视频文件。

ESET 尚未确定该漏洞是否已在野外攻击中被使用。

“我们在一个地下论坛上发现了一个针对 Android 版 Telegram 的零日漏洞正在出售。它所利用的漏洞允许通过 Telegram 聊天发送看起来像多媒体文件的恶意负载。如果用户尝试播放这个看似视频的文件，他们将会收到一个安装外部应用的请求，而实际上这个请求会安装恶意负载。”ESET 总结道。“幸运的是，在我们向 Telegram 报告后，该漏洞已于 2024 年 7 月 11 日得到修复。”

原文始发于微信公众号（黑猫安全）：Telegram安卓零日漏洞允许伪装成视频发送恶意APK文件