Một tác nhân đe dọa có tên 'Ancryno' đã rao bán lỗ hổng zero-day của Telegram từ ngày 6 tháng 6 năm 2024 trong một bài đăng trên diễn đàn tội phạm mạng, chỉ ra lỗ hổng này tồn tại trong Telegram v10.14.4 và các phiên bản cũ hơn.

Các nhà nghiên cứu của ESET đã phát hiện ra lỗ hổng sau khi thông tin mã khai thác (PoC) được chia sẻ trên kênh Telegram công khai.

ESET xác nhận rằng lỗ hổng này hoạt động trên phiên bản Telegram v10.14.4 trở về trước và đặt tên là 'EvilVideo'. Nhà nghiên cứu Lukas Stefanko của ESET đã tiết lộ lỗ hổng này cho Telegram vào ngày 26 tháng 6 và một lần nữa vào ngày 4 tháng 7 năm 2024.

Telegram phản hồi vào ngày 4 tháng 7, cho biết họ đang điều tra báo cáo và sau đó phát hành bản vá cho lỗ hổng trong phiên bản 10.14.5 vào ngày 11 tháng 7 năm 2024. Điều này có nghĩa là kẻ tấn công có ít nhất năm tuần để khai thác lỗ hổng zero-day trước khi lỗ hổng được vá.

BleepingComputer đã phát hiện hai tệp APK độc hại sử dụng C2 đó trên VirusTotal [1, 2] giả mạo là Avast Antivirus hoặc 'xHamster Premium Mod.'

Lỗ hổng bảo mật EvilVideo chỉ hoạt động trên Telegram dành cho Android và cho phép kẻ tấn công tạo các tệp APK độc hại, khi gửi cho người dùng khác trên Telegram, các tệp này sẽ xuất hiện dưới dạng video nhúng.

ESET cho rằng lỗ hổng này sử dụng Telegram API để tạo một tin nhắn có vẻ như một video dài 30 giây.

Theo cài đặt mặc định, ứng dụng Telegram trên Android sẽ tự động tải xuống các tệp media để những người tham gia kênh sẽ nhận được nội dung trên thiết bị của họ khi họ mở cuộc trò chuyện.

Đối với người dùng đã tắt tính năng tự động tải xuống, chỉ cần chạm một lần vào bản xem trước video là đủ để bắt đầu tải tệp xuống.

Khi người dùng cố gắng phát video giả, Telegram gợi ý sử dụng công cụ phát bên ngoài, điều này có thể khiến người nhận chạm vào nút "Mở" và kích hoạt payload (tệp độc hại).

Tiếp theo, một hành động bổ sung được yêu cầu là nạn nhân phải cho phép cài đặt các ứng dụng không xác định từ cài đặt thiết bị, để APK độc hại có thể cài đặt trên thiết bị.​

Mặc dù tác nhân đe dọa khẳng định rằng lỗ hổng này chỉ cần "một cú nhấp chuột", nhưng thực tế là nó yêu cầu nhiều lần nhấp chuột, nhiều bước và nhiều thiết lập cụ thể để thực thi phần mềm độc hại trên thiết bị của nạn nhân, làm giảm đáng kể nguy cơ tấn công thành công.

ESET đã thử nghiệm khai thác trên trình duyệt web Telegram và Telegram Desktop và phát hiện ra rằng nó không hoạt động ở đó vì dữ liệu được xử lý như một tệp video MP4.

Bản sửa lỗi của Telegram trong phiên bản 10.14.5 hiển thị đúng tệp APK trong bản xem trước, do đó người nhận không còn bị lừa bởi những gì xuất hiện dưới dạng tệp video.

Nếu gần đây bạn nhận được các tệp video yêu cầu ứng dụng bên ngoài để phát qua Telegram, hãy rà quét hệ thống tệp bằng công cụ bảo mật di động để xác định vị trí và xóa tệp tin khỏi thiết bị của bạn.

Thông thường, các tệp video Telegram được lưu trữ trong '/storage/emulated/0/Telegram/Telegram Video/' (bộ nhớ trong) hoặc trong '/storage//Telegram/Telegram Video/' (bộ nhớ ngoài).