EvilVideo, el exploit que aprovechaba una vulnerabilidad de Telegram en Android

ESET Research logró identificar una vulnerabilidad de día cero en la versión para Android de la aplicación Telegram, que permite enviar cargas maliciosas que aparecen como archivos de vídeo en las versiones 10.14.4 y anteriores de la aplicación.

Estaba a la venta en un foro clandestino en junio de este año. Se trataba de un exploit Zero Day que aprovechaba una vulnerabilidad de Telegram para Android a la que ESET ha bautizado como EvilVideo. Los expertos de ESET Research dieron con ello en el foro, lo investigaron e informaron a Telegram del hallazgo. La vulnerabilidad fue subsanada en la actualización de la aplicación del 11 de julio, pero es funcional en las versiones 10.14.4 y anteriores.

Lukáš Štefanko, el investigador de ESET que descubrió el exploit de Telegram, cuenta el hallazgo: “Encontramos el exploit anunciado en un foro clandestino, donde el vendedor presentaba capturas de pantalla y un video de prueba del exploit en un canal público de Telegram. Logramos identificar el canal, donde el exploit seguía disponible. Esto nos permitió obtener el payload y probarlo por nosotros mismos”.

La compañía explica que el exploit depende de la capacidad de “crear un payload que se presente como una vista previa multimedia en lugar de un archivo adjunto binario”. Además, de forma predeterminada, los vídeos recibidos en Telegram se descargan automáticamente cuando abres el chat en el que están, por lo que los usuarios estarían expuestos a esa carga maliciosa que se muestra como un vídeo de 30 segundos.

Al intentar reproducirlo, aparece un mensaje de error avisando de que no puede mostrar el vídeo y sugiere utilizar una aplicación externa. Si se accede a ello, se instala de hecho en el móvil una aplicación maliciosa. ESET ofrece una amplia explicación del funcionamiento del malware y de las medidas tomadas por la compañía para evitar que la vulnerabilidad siga activa.