Scoperta una pericolosa vulnerabilità su Telegram per Android: tutto ciò che devi sapere su EvilVideo

Un gruppo di ricercatori della ESET ha recentemente individuato un exploit zero-day denominato EvilVideo, progettato per colpire l'applicazione Telegram su dispositivi Android. Questo exploit è emerso in vendita su un noto forum clandestino il 6 giugno 2024. Gli aggressori hanno utilizzato questa vulnerabilità per inviare file infetti attraverso vari canali, gruppi e chat di Telegram, mascherandoli abilmente da file multimediali apparentemente innocui. Gli specialisti sono riusciti a mettere le mani su un campione dell'exploit, che ha consentito loro di eseguire un'analisi approfondita e di segnalare il problema alla piattaforma Telegram il 26 giugno 2024.

L'analisi e la segnalazione dell'Issue

Una volta ottenuto il campione del file dannoso, i ricercatori sono riusciti a decifrare la modalità di funzionamento dell'exploit e hanno determinato che esso sfruttava una vulnerabilità nelle versioni di Telegram per Android precedenti alla 10.14.5. Questi file, camuffati da video, inducevano Telegram a prevedere che non fossero riproducibili e a suggerire l'uso di un lettore esterno. Quando l'utente cliccava sul pulsante "Apri", veniva invitato a scaricare un'applicazione malevola, travestita da lettore video. La vulnerabilità è stata segnalata immediatamente a Telegram, che ha rilasciato una patch correttiva l'11 luglio 2024 con la versione 10.14.5.

Impatto limitato su altre piattaforme

Durante l'analisi, è emerso che l'exploit EvilVideo non aveva effetti significativi sulle versioni di Telegram per web e desktop su sistemi operativi Windows. In questi casi, i file dannosi venivano correttamente riconosciuti come file multimediali standard e non rappresentavano una minaccia effettiva per la sicurezza degli utenti. Tuttavia, la scoperta del codice dannoso ha rivelato anche un altro aspetto preoccupante: il venditore dell'exploit forniva un servizio di crittografia specificamente progettato per dispositivi Android. Questo servizio, disponibile sullo stesso forum underground già da gennaio 2024, mirava a rendere invisibili i file maligni agli antivirus.

Raccomandazioni e azioni di sicurezza

Dopo la correzione della vulnerabilità da parte di Telegram, gli esperti di sicurezza hanno consigliato a tutti gli utenti di aggiornare immediatamente l'applicazione alla versione più recente disponibile per proteggersi da potenziali minacce. L'aggiornamento alla versione 10.14.5 garantisce che le anteprime dei file multimediali siano visualizzate correttamente, segnalando chiaramente quando un file è in realtà un'applicazione. Questo importante passo avanti nella sicurezza aiuterà a prevenire che exploit simili possano essere utilizzati in futuro, rafforzando ulteriormente la protezione degli utenti di Telegram su dispositivi Android.