恶意软件和 CTI 分析师0x6rss发现了Android 版 Telegram 中一个新发现的漏洞,称为EvilLoader。此漏洞允许攻击者将恶意 APK 伪装成视频文件,从而可能导致在用户设备上未经授权安装恶意软件。该漏洞在他的博客文章中进行了详细介绍,并附有概念验证(PoC) 代码。此漏洞尚未修补,并继续在 Android 版 Telegram 11.7.4 的最新版本上起作用。更令人担忧的是,自 2025 年 1 月 15 日起,该有效载荷已在地下论坛上出售,全球网络犯罪分子都可以使用它。这类似于WhatsApp 技巧, Android 恶意软件可以冒充 PDF 文件并诱骗用户安装它。
技术细节
Evilloader 是一种加载程序,允许攻击者在目标系统上下载并运行其他恶意负载。CVE-2024-7014 描述了此模块的反分析机制的更新。在这种情况下,虚假视频会将受害者引导至恶意软件(虚假播放保护)下载页面,然后还会发送 IP 记录器。
漏洞详细信息
该漏洞主要原因是Telegram服务器响应中的“.htm”文件格式被误认为是视频。“.htm”代码片段在浏览器中以“content://”打开。即: content://org.telegram.messenger.provider/media/Android/data/org.telegram.messenger/files/Telegram/Telegram%20Video/4_5924894289476721732.htm 打开内容,从而允许触发并打开指定的HTML页面。
场景(IP记录器)
受害者可能会尝试使用视频播放器打开此文件,如果失败(因为它不是实际的视频格式),它会重定向到默认浏览器,或者如果它被理解为“HTML 文件”,则可以双击在浏览器中打开。这允许恶意 JavaScript 运行。
如果受害者从 Telegram 下载该文件时以为它是一个视频,浏览器实际上会运行 HTML 内容,并且 IP 信息会发送到攻击者的服务器。
核心问题在于,HTML 文件以 MP4 扩展名创建和保存,导致 Telegram 因其扩展名而将其误认为视频文件。通过 Telegram 发送时,该文件被视为合法的媒体文件,打开后,系统会提示用户在外部应用程序中启动它,此时恶意代码便可执行。
在安装恶意应用程序之前,用户必须在其 Android 设备上明确启用未知应用程序的安装。当尝试安装伪装的视频文件时,Telegram 将提示用户安装外部应用程序。作为此过程的一部分,用户将被要求授予安装来自未知来源的应用程序的权限,此安全设置通常默认禁用,以防止未经授权的安装。
通过利用 Telegram 无法正确验证媒体文件的功能,攻击者可以嵌入看似无害视频文件的有害负载。
该漏洞在地下论坛上被积极出售
自 2025 年 1 月 15 日起,EvilLoader 的有效载荷已在地下论坛上以未知价格出售。网络犯罪分子一直将其称为 EvilLoader,而不是其初始名称 EvilVideo。这种漏洞在地下市场上的可用性引发了人们对其广泛滥用的担忧,因为威胁行为者现在可以轻松获取并部署它来对付毫无戒心的 Telegram 用户。
https://cti.monster/blog/2025/03/04/evilloader.html
https://www.mobile-hacker.com/2025/03/05/evilloader-unpatched-telegram-for-android-vulnerability-disclosed/
https://github.com/0x6rss/telegram-video-extension-manipulation-PoC
原文始发于微信公众号(Khan安全团队):EvilLoader:Telegram 针对Android漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论