Telegram零日漏洞将恶意Android APK伪装成视频文件

针对Android平台Telegram应用的零日漏洞被业内称为“EvilVideo”，其允许攻击者将恶意的Android APK载荷伪装成视频文件进行发送。

2024年6月6日，名为“Ancryno”的威胁行为者在黑客论坛上首次出售Telegram零日漏洞利用工具，并声称该漏洞存在于Telegram v10.14.4及更早的版本中。

ESET研究人员在一个公开的Telegram频道上分享了漏洞验证（Proof-of-Concept, PoC）演示，之后竟意外发现了此漏洞，因此ESET不得不尽快发布公告以警示他人。

ESET 确认了该漏洞在 Telegram v10.14.4 及更早版本中有效，并将其命名为“EvilVideo”。2024 年 6 月 26 日和 7 月 4 日，ESET 的研究员 Lukas Stefanko 两次向 Telegram 披露了这一漏洞。

Telegram 在 7 月 4 日回应称，他们正在调查这一报告，并在 2024 年 7 月 11 日发布的 10.14.5 版本中修复了该漏洞。

这意味着在漏洞被修复之前，威胁行为者至少有五周的时间可以利用此漏洞。

虽然目前尚不清楚该漏洞是否已被用于实际攻击中，但 ESET 分享了一个由载荷使用的命令和控制服务器（C2）的地址，即“infinityhackscharan.ddns[.]net”。

BleepingComputer 在 VirusTotal 上发现了两个使用该命令和控制服务器（C2）的恶意 APK 文件 [1, 2]，这些文件被伪装成了 Avast Antivirus 或“xHamster Premium Mod”应用。

EvilVideo 零日漏洞仅影响 Android 平台上的 Telegram 应用，其允许攻击者创建经过特殊处理的 APK 文件。当这些文件通过 Telegram 发送给其他用户时，它们会伪装成嵌入的视频。

ESET 认为，该漏洞利用 Telegram API 以编程方式创建消息，并让消息看起来像是一个 30 秒的小视频。实际上，用户点击这个看似视频的消息时，并不会播放视频，而是会触发下载 APK 文件的按钮。这种伪装手法增加了用户的信任度，从而提高了攻击的成功率。

基于Android系统，Telegram 应用的默认设置中，媒体文件会自动下载，因此一旦频道参与者打开对话，恶意载荷就会被下载到他们的设备上。

对于那些已经禁用自动下载功能的用户，只需点击视频预览即可触发下载文件。

当用户尝试播放这个假视频时，Telegram 会建议使用外部播放器，因此大部分接收者会点击“打开”按钮，从而执行恶意载荷。这种情况下，用户可能会误以为他们正在打开一个视频播放器来查看视频，而实际上却是在运行一个潜在的恶意软件。

接下去，还有一个额外的步骤需要警惕，即受害者要在设置中启用“允许安装未知来源应用”的选项，恶意 APK 文件才能被安装。

虽然威胁行为者声称该漏洞利用是“一键式”的，但事实上，它需要在受害者的设备上进行多次点，才能让恶意行为被执行下去，这大大降低了攻击的成功率。也就意味着，即使存在这样的漏洞，攻击者也需要受害者进行一系列操作才能实施攻击。

ESET 在 Telegram 的网页客户端和 Telegram Desktop 上测试了该漏洞利用工具，发现其并不能引发攻击，因为载荷会被当作 MP4 视频文件。

Telegram 在 10.14.5 版本中修复了相关漏洞，所以现在能够正确地在预览中显示 APK 文件。ESET研究人员表示，如果用户最近通过 Telegram 收到了那些“会请求使用外部应用播放”的视频文件，他们可以使用移动安全套件执行文件系统进行扫描，以移除这些载荷。

通常，Telegram 的视频文件存储在 

'/storage/emulated/0/Telegram/Telegram Video/'（内部存储）或 '/storage/<SD Card ID>/Telegram/Telegram Video/'（外部存储）中。