La seguridad en aplicaciones de mensajería es fundamental para proteger nuestra información personal y garantizar una comunicación segura. Recientemente, se ha descubierto una vulnerabilidad en la aplicación de mensajería Telegram para Android, apodada 'EvilVideo', que permitió a los atacantes enviar archivos APK maliciosos disfrazados de videos.
El exploit 'EvilVideo' salió a la luz el 6 de junio de 2024, cuando un actor de amenazas conocido como 'Ancryno' comenzó a vender esta vulnerabilidad en el foro de piratería XSS de habla rusa. Ancryno afirmaba que la falla existía en la versión 10.14.4 de Telegram y en todas las versiones anteriores. Este tipo de foro es conocido por ser un mercado donde se compran y venden exploits y herramientas de hacking, lo que aumentó la preocupación sobre la posible proliferación de este exploit.
El ciberdelincuente pone a la venta el exploit en un foro de hacking
Se confirmó que el exploit funcionaba en Telegram v10.14.4 y versiones anteriores, denominándolo "EvilVideo". Un investigador reveló responsablemente la falla a Telegram el 26 de junio y nuevamente el 4 de julio de 2024.
Telegram respondió el 4 de julio, indicando que estaban investigando el informe y luego corrigieron la vulnerabilidad en la versión 10.14.5, lanzada el 11 de julio de 2024.
Esto significa que los actores de amenazas tuvieron al menos cinco semanas para explotar el día cero antes de que fuera parcheado. Si bien no está claro si la falla fue explotada activamente en los ataques, se compartió un servidor de comando y control (C2) utilizado por las cargas útiles en 'infinityhackscharan.ddns[.]net'.
Te podrá interesar leer: Descubriendo los canales en Telegram de la Dark Web
La vulnerabilidad de día cero denominada EvilVideo afectó exclusivamente a la versión de Telegram para Android. Esta falla permitía a los atacantes crear archivos APK maliciosos diseñados para parecer videos incrustados cuando se enviaban a otros usuarios a través de la plataforma.
El exploit aprovechaba la API de Telegram para generar automáticamente mensajes que simulaban mostrar un video de 30 segundos, engañando a los usuarios para que descargaran el archivo malicioso. Esta técnica subraya la importancia de la ciberseguridad y la necesidad de mantener las aplicaciones actualizadas para protegerse contra posibles ataques.
Visualización del archivo APK disfrazado como un video de 30 segundos
Te podrá interesar leer: Detección de Ataques Zero-Day con Wazuh
En su configuración predeterminada, Telegram para Android descarga automáticamente archivos multimedia, lo que significa que los participantes de un canal reciben el archivo malicioso en su dispositivo tan pronto como abren la conversación.
Para aquellos que han desactivado la descarga automática, un solo toque en la vista previa del video inicia la descarga del archivo.
Cuando los usuarios intentan reproducir el supuesto video, Telegram sugiere utilizar un reproductor externo. Esto puede llevar a los destinatarios a presionar el botón "Abrir" y ejecutar involuntariamente la carga útil maliciosa.
Solicitud de abrir un reproductor de video externo
A continuación, se requiere un paso adicional: la víctima debe habilitar la opción de instalar aplicaciones de fuentes desconocidas desde la configuración del dispositivo. Esto permite que el archivo APK malicioso se instale en el dispositivo.
Conoce más sobre: ¿Cómo Blindar tu Cuenta de Telegram?
Aunque el atacante afirma que el exploit es "de un solo clic", el hecho de que requiera múltiples clics, pasos y configuraciones específicas para ejecutar una carga maliciosa en el dispositivo de la víctima reduce significativamente el riesgo de un ataque exitoso.
Al probar el exploit en el cliente web de Telegram y en Telegram Desktop, se descubrió que no funciona allí, ya que la carga útil se trata como un archivo de video MP4.
La corrección de Telegram en la versión 10.14.5 ahora muestra correctamente el archivo APK en la vista previa, lo que impide que los destinatarios sean engañados por archivos que parecen videos.
Si recientemente recibiste archivos de video a través de Telegram que solicitaron una aplicación externa para reproducirlos, realiza un escaneo del sistema de archivos para localizar y eliminar posibles cargas maliciosas de tu dispositivo.
Este incidente subraya la importancia de mantener las aplicaciones actualizadas para protegerse contra vulnerabilidades conocidas. Los usuarios de Telegram deben asegurarse de estar utilizando la versión más reciente de la aplicación y ser cautelosos al descargar y abrir archivos de fuentes desconocidas o sospechosas. Aquí hay algunas medidas adicionales que se pueden tomar para mejorar la seguridad:
Te podrá interesar leer: ¿Tu software está al día?: Importancia de los Parches
La vulnerabilidad 'EvilVideo' en Telegram destaca la constante amenaza que representan las vulnerabilidades de día cero y la necesidad de una respuesta rápida y eficaz por parte de las empresas de tecnología. Aunque la vulnerabilidad fue corregida, el período en el que estuvo activa subraya la importancia de estar siempre vigilantes y proactivos en la protección de nuestros dispositivos y datos personales. Mantenerse informado, actualizar regularmente las aplicaciones y adoptar buenas prácticas de seguridad son pasos esenciales para protegerse contra las crecientes amenazas.