Secondo quanto riportato dagli esperti di ESET Research, una falla di sicurezza nota come EvilVideo ha causato non pochi problemi agli utenti delle versioni 10.14.4 (e precedenti) di Telegram per Android. Stando a quanto emerso, questo exploit è stato utilizzato da diversi cybercriminali per nascondere payload dannosi nei file video diffusi attraverso l’app.
Lukas Stefanenko, ricercatore di ESET, ha spiegato sul blog WeLiveSecurity come gli aggressori avrebbero condiviso i payload dannosi attraverso canali, gruppi e chat Telegram. Questi, apparentemente semplici file multimediali della durata di circa 30 secondi, sfruttano l’API di Telegram per diffondere agenti malevoli.
Una volta scoperto l’accaduto, ESET ha segnalato la vulnerabilità a Telegram il 5 luglio, che però non ha risposto tempestivamente. A una seconda richiesta, datata 11 luglio, la piattaforma ha finalmente risposto, rilasciando anche una patch correttiva. Allo stato attuale, dunque, agli utenti Android viene consigliato di effettuare l’aggiornamento alla versione 10.14.5 di Telegram il prima possibile, per evitare qualunque rischio legato a EvilVideo.
Allarme EvilVideo: il lavoro di ESET ha permesso di “disinnescare” il pericolo
A rendere EvilVideo particolarmente temibile vi è una caratteristica di Telegram, ovvero il download automatico dei file multimediali. Si tratta di un’opzione che, essendo attiva come impostazione predefinita, facilita la diffusione di eventuali payload dannosi.
Il malware diffuso attraverso EvilVideo agisce nel momento in cui il contenuto viene riprodotto o l’utente tenta di aprire lo stesso. Alla vittima viene richiesta l’installazione di un fantomatico player video e, se la stessa accetta il download e l’installazione, quanto scaricato infetta definitivamente lo smartphone.
Stando a quanto emerso dalle ricerche ESET, i cybercriminali hanno anche tentato di diffondere l’attacco sulla versione Web di Telegram e sul client desktop per Windows, senza però riuscirvi.
Nonostante gli sforzi, almeno al momento, gli esperti non hanno identificato chi si nasconde dietro all’exploit, anche se è dato per certo che lo stesso utilizzi un cryptor-as-a-service promosso come “completamente non rilevabile” sui forum clandestini nel Dark Web.