威胁行动者 “Ancryno” 首次于2024年6月6日在俄语 XSS 黑客论坛上出售该 Telegram 0day 利用，表示该漏洞存在于 Telegram v10.14.4和更早版本中。ESET公司的安全研究员在一个公开的 Telegram 信道上看到分享的 PoC 演示后发现了该漏洞，并可借此获取恶意 payload。

ESET公司证实称，该利用在 Telegram v10.14.4和更早版本中起作用，并将其命名为 “EvilVideo”。研究人员 Lukas Stefanko 先后在6月26日和7月4日将该漏洞报送给 Telegram。Telegram 公司在7月4日回应称正在调查此事，之后在版本10.14.5中修复了该漏洞并在2024年7月11日发布。这意味着威胁行动者至少有五周的时间利用该漏洞。

虽然目前尚不清楚该漏洞是否已被用于攻击中，但ESET公司共享了 payload 使用的C2服务器，'infinityhackscharan.ddns[.]net'。BleepingComputer 在 VirusTotal 上发现了使用该C2的两个恶意 APK 文件伪装为 Avast Antivirus 或一个 'xHamster Premium Mod’。

Telegram 0day 利用

EvilVideo 0day 漏洞仅适用于安卓版 Telegram，可使攻击者创建特殊构造的 APK 文件，这些文件被发送给 Telegram 上的其它用户时会显示为嵌入式视频。

ESET 公司认为该利用通过 Telegram API 以编程的方式创建了一条信息，显示30秒的视频。在默认设置下，安卓版本的 Telegram app 自动下载媒体文件，因此频道参与人员在打开会话时就会在设备上收到该 payload。如用户已禁用自动下载，则仅在视频预览上点击一下就足以初始化文件下载。当用户尝试播放虚假视频时，Telegram 会提示使用外部播放器，从而可能导致收件人点击“打开”按钮并执行该 payload。

接着，需要完成另外一步，即受害者必须从设备设置中启用安装未知应用，使恶意 APK 文件安装到设备上。尽管威胁行动者声称该利用是“一次点击”，但实际上它要求多次点击、步骤和具体设置才能在受害者设备上执行恶意 payload，从而降低成功攻击的风险。研究人员在 Telegram 的 web 客户端和 Desktop 上测试了该利用，发现由于该 payload 被当作 MP4 视频文件处理，因此并不适用。

Telegram 在10.14.5版本中发布的修复方案在预览中正确显示 APK 文件，因此收件人不再受骗。如用户最近收到要求外部app 通过 Telegram 进行播放，使用移动安全套件扫描文件系统以定位和删除payload。一般而言，Telegram 视频文件存储在 '/storage/emulated/0/Telegram/Telegram Video/' （内部存储）或 '/storage/<SD Card ID>/Telegram/Telegram Video/' （外部存储）。ESET 还分享了相关演示视频。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~