Los expertos en ciberseguridad de ESET alertaron del descubrimiento de una nueva vulnerabilidad de ‘día cero’ en la versión de Telegram para Android.
Esta falla, conocida por los expertos como ‘EvilVideo’, permitió a los ciberdelincuentes implementar malware en dispositivos vulnerables y aparentemente había sido explotada activamente durante varias semanas.
El caso fue descubierto a principios de junio por expertos de ESET en un foro clandestino en línea en ruso, en un momento en que un usuario llamado Ancryno estaba vendiendo una vulnerabilidad de «día cero» para las versiones 10.14.4 y anteriores de Telegram. Cuando se publicó una versión PoC (Prueba de concepto) de este código malicioso, los profesionales se dieron cuenta de que funcionaba.
Malware enviado en archivos de vídeo
Según los expertos de ESET citados por el sitio web Helpnetsecurity, los atacantes pudieron aprovechar esta vulnerabilidad compartiendo malware disfrazado de archivos multimedia a través de canales, grupos y chats de Telegram.
Según la misma fuente, la explotación de la vulnerabilidad dependerá de la capacidad de los atacantes para crear suficientes cargas útiles para mostrar una aplicación de Android como una vista previa multimedia y no como un archivo multimedia adjunto.
Dado que, de forma predeterminada, los archivos multimedia recibidos a través de Telegram están configurados para su descarga automática, los usuarios con esta opción habilitada descargarán automáticamente la carga maliciosa tan pronto como abran la conversación donde se compartió.
La opción de descarga automática se puede desactivar manualmente, aunque el malware aún se puede descargar tocando el botón de descarga en el vídeo compartido.
Los expertos de ESET revelaron que fue sólo después del segundo contacto que los profesionales de Telegram respondieron a la alerta, realizada inicialmente a finales de junio. El 11 de julio, Telegram finalmente lanzó la versión 10.14.5 para Android, con la vulnerabilidad ya solucionada.