Telegram

EvilVideo」と名付けられたTelegram for Androidのゼロデイ脆弱性により、攻撃者はビデオファイルに偽装した悪意のあるAndroid APKペイロードを送信することが可能となった。

Ancryno」と名付けられた脅威アクターは、2024年6月6日、ロシア語圏のXSSハッキングフォーラムへの投稿で、Telegram v10.14.4およびそれ以前のバージョンにこの欠陥が存在するとして、Telegramのゼロデイ・エクスプロイトの販売を初めて開始しました。

ESETの研究者は、Telegramの公開チャンネルでPoCデモが共有され、悪意のあるペイロードを入手できたことから、この欠陥を発見した。

Threat actor selling the exploit on a hacking forum
ハッキングフォーラムでエクスプロイトを販売する脅威行為者
ソースはこちら:ESET

ESETは、このエクスプロイトがTelegram v10.14.4およびそれ以前のバージョンで動作することを確認し、これを「EvilVideo」と命名した。ESETのリサーチャーであるLukas Stefankoは、6月26日と2024年7月4日にこの欠陥をTelegramに責任を持って開示した。

Telegramは7月4日、この報告を調査中であると回答し、2024年7月11日にリリースされたバージョン10.14.5で脆弱性のパッチを適用した。

つまり、脅威者はパッチが適用されるまで、少なくとも5週間はゼロデイを悪用する時間があったことになる。

この欠陥が攻撃で積極的に悪用されたかどうかは不明だが、ESETはペイロードが使用したコマンド&コントロール・サーバー(C2)を「infinityhackscharan.ddns[.]net」で共有している。

VirusTotal[1,2]では、このC2を使用して、Avast Antivirusまたは「xHamster Premium Mod」のふりをした2つの悪意のあるAPKファイルが見つかりました。

テレグラムのゼロデイ攻撃

EvilVideoのゼロデイ欠陥は、Telegram for Android上でのみ機能し、攻撃者が特別に細工したAPKファイルを作成し、Telegram上で他のユーザーに送信すると、埋め込まれた動画として表示されるようになっていました。

ESETは、このエクスプロイトがTelegram APIを使用して、30秒の動画を表示しているように見えるメッセージをプログラムで作成すると考えています。

APK file previewed as a video on Telegram
30秒のクリップとしてプレビューされるAPKファイル
ソースはこちら:ESET

デフォルト設定では、Android上のTelegramアプリはメディアファイルを自動的にダウンロードするため、チャンネル参加者は、会話を開くとデバイス上でペイロードを受け取ります。

自動ダウンロードを無効にしているユーザーは、動画のプレビューを1回タップするだけで、ファイルのダウンロードが開始されます。

ユーザーが偽のビデオを再生しようとすると、Telegramは外部プレーヤーを使用するよう提案し、受信者が「開く」ボタンをタップしてペイロードを実行してしまう可能性があります。

Prompt to launch an external video player
外部ビデオプレーヤーの起動を促すプロンプト
ソースはこちら:ESET

次に、追加のステップが必要です。被害者は、デバイスの設定から不明なアプリのインストールを有効にし、悪意のあるAPKファイルがデバイスにインストールできるようにする必要があります。

Final step adding friction in the exploit process
APK インストールの承認を必要とするステップ
Source: ESET:ESET

脅威当事者は、このエクスプロイトが「ワンクリック」であると主張していますが、悪意のあるペイロードが被害者のデバイス上で実行されるためには、複数のクリック、ステップ、特定の設定が必要であるという事実は、攻撃が成功するリスクを大幅に低下させます。

ESETがTelegramのウェブクライアントとTelegram Desktopでこのエクスプロイトをテストしたところ、ペイロードがMP4ビデオファイルとして扱われるため、このエクスプロイトは機能しないことが判明しました。

Telegramのバージョン10.14.5での修正により、プレビューでAPKファイルが正しく表示されるようになったため、受信者は動画ファイルとして表示されるものに惑わされなくなりました。

最近、Telegram経由で外部アプリの再生を要求する動画ファイルを受信した場合は、モバイルセキュリティスイートを使用してファイルシステムのスキャンを実行し、デバイスからペイロードを見つけて削除してください。

通常、Telegramの動画ファイルは「/storage/emulated/0/Telegram/Telegram Video/」(内部ストレージ)または「/storage/<SDカードID>/Telegram/Telegram Video/」(外部ストレージ)に保存されています。

ESETは、Telegramのゼロデイ悪用のデモビデオを公開しています。