В июне 2024 года был обнаружен эксплойт нулевого дня для Telegram на Android, который получил название EvilVideo. Этот эксплойт позволял злоумышленникам отправлять вредоносную полезную нагрузку через Telegram в виде видеофайлов. Он работал только на версии Telegram для Android 10.14.4 и выше.
Уязвимость была обнаружена на подпольном форуме, где эксплойт был выставлен на продажу. Продавец предоставил скриншоты и видеоролик для демонстрации работы эксплойта.
Полезная нагрузка отображалась в виде видеофайла, который пользователи Telegram автоматически загружали, если включена опция автоматической загрузки медиафайлов. Однако при попытке воспроизведения "видео" Telegram выводил предупреждение о невозможности воспроизведения и предлагал установить внешний плеер, который на самом деле был вредоносным приложением. Пользователям предлагалось разрешить установку неизвестных приложений, и после этого вредоносное приложение устанавливалось на устройство. Хотя эксплойт был предназначен только для Telegram на Android, он был протестирован и не сработал на веб-клиенте Telegram и на клиенте Telegram Desktop для Windows. Попытка воспроизведения "видео" приводила к сообщению об ошибке и предложению открыть видео с помощью настольного приложения, но сам факт обработки файла как мультимедийного помешал эксплойту сработать.
Indicators of Compromise
IPv4
- 183.83.172.232
Domains
- infinityhackscharan.ddns.net
MD5
- 19e5c726ccf1b1797cc6b379cf5ba41a
SHA1
- f159886dcf9021f41eaa2b0641a758c4f0c4033d
SHA256
- ef5b77c003be850406ff8a18a35eb094632dcdc8f6112efcde036e3c454dde0c
