Actualizado el 19/11/2024

icon Facebook icon Twiiter icon RSS icon EMAIL
  1. Portada
  2. >
  3. Noticias
  4. >
  5. EvilVideo: exploit de día cero en la app de Telegram para Android

EvilVideo: exploit de día cero en la app de Telegram para Android

Escrito por Agencias Externas el 20/08/2024 a las 19:35:20
843

Los investigadores de ESET descubrieron un exploit de día cero dirigido a la aplicación Telegram para Android, que apareció a la venta en un foro clandestino en junio de 2024 por un precio no especificado. Este exploit, aprovechando una vulnerabilidad denominada "EvilVideo" por ESET, permite a los atacantes compartir payloadas maliciosos de Android a través de canales, grupos y chats de Telegram, haciéndolas pasar por archivos multimedia legítimos.


"Encontramos el exploit anunciado en un foro clandestino, donde el vendedor presentaba capturas de pantalla y un video de prueba del exploit en un canal público de Telegram. Logramos identificar el canal, donde el exploit seguía disponible. Esto nos permitió obtener el payload y probarlo por nosotros mismos", explica Lukáš Štefanko, el investigador de ESET que descubrió el exploit de Telegram.


El análisis de ESET Research reveló que el exploit afecta a las versiones 10.14.4 y anteriores de Telegram. Esto se debe probablemente a que el payload específico se crea utilizando la API de Telegram, lo que permite a los desarrolladores cargar archivos multimedia especialmente diseñados en los chats o canales de Telegram de forma programática. El exploit depende de la capacidad del atacante para crear un payload que se presente como una vista previa multimedia en lugar de un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un video de 30 segundos.


De forma predeterminada, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. Esto significa que los usuarios con esta opción habilitada descargarán automáticamente la carga maliciosa al abrir la conversación en la que se compartió. Sin embargo, la opción de descarga automática puede desactivarse manualmente. En ese caso, el payload aún puede descargarse pulsando sobre el botón de descarga del video compartido.


Si el usuario intenta reproducir el "video", Telegram muestra un mensaje indicando que no puede reproducirlo y sugiere utilizar un reproductor externo. Sin embargo, si el usuario toca el botón "Abrir" en el mensaje, se le solicitará que instale una aplicación maliciosa disfrazada como la aplicación externa mencionada.


Después de descubrir la vulnerabilidad EvilVideo el 26 de junio de 2024, ESET siguió una política de divulgación coordinada y lo informó a Telegram, pero no recibió respuesta de inmediato. Se volvió a informar de la vulnerabilidad el 4 de julio y, esta vez, Telegram se puso en contacto con ESET el mismo día para confirmar que su equipo estaba investigando EvilVideo. Telegram solucionó el problema, lanzando la versión 10.14.5 el 11 de julio. La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, pero se ha corregido en la versión 10.14.5 y posteriores.


Para obtener más información sobre EvilVideo, te invitamos a leer la publicación de blog "Cintas malditas: Explotando la vulnerabilidad de EvilVideo en Telegram para Android" en WeLiveSecurity.com.