Sigurnosna greška nultog dana u Telegramovoj mobilnoj aplikaciji za Android pod nazivom EvilVideo omogućila je napadačima zlonamjerne datoteke prerušene u videozapise bezopasnog izgleda.
Eksploat se pojavio na prodaju po nepoznatoj cijeni na podzemnom forumu 6. juna 2024., saopštio je ESET. Nakon odgovornog otkrivanja 26. juna, Telegram je riješio problem u verziji 10.14.5 objavljenoj 11. jula.
“Napadači bi mogli dijeliti zlonamjerne Android sadržaje putem Telegram kanala, grupa i ćaskanja i učiniti ih da se pojavljuju kao multimedijalne datoteke”, rekao je istraživač sigurnosti Lukáš Štefanko u izvještaju.
Vjeruje se da je korisni teret izmišljen korištenjem Telegramovog aplikacijskog programskog interfejsa ( API ), koji omogućava programsko učitavanje multimedijalnih datoteka na razgovore i kanale. Čineći to, omogućava napadaču da zakamuflira zlonamjerni APK fajl u 30-sekundni video.
Korisnicima koji kliknu na video prikazuje se stvarna poruka upozorenja u kojoj se navodi da se video ne može reproducirati i poziva ih da ga pokušaju pustiti pomoću vanjskog plejera. Ako nastave s korakom, od njih se naknadno traži da dozvole instalaciju APK datoteke putem Telegrama. Aplikacija u pitanju nosi naziv “xHamster Premium Mod”.
“Prema zadanim postavkama, medijski fajlovi primljeni putem Telegrama su podešeni za automatsko preuzimanje”, rekao je Štefanko. “To znači da će korisnici s uključenom opcijom automatski preuzeti zlonamjerno opterećenje čim otvore razgovor u kojem je podijeljen.”
Iako se ova opcija može onemogućiti ručno, sadržaj se i dalje može preuzeti dodirom na dugme za preuzimanje koje prati navodni video. Vrijedi napomenuti da napad ne funkcionira na klijentima Telegrama za web ili na namjenskoj Windows aplikaciji.
Trenutno nije jasno ko stoji iza eksploatacije i koliko je široko korišten u napadima u stvarnom svijetu. Isti haker je, međutim, u januaru 2024. godine reklamirao potpuno neprimjetan Android kriptator (aka kriptor) koji navodno može zaobići Google Play Protect.
Virusni uspjeh Hamster Kombat-a rađa zlonamjernog Copycat-a
Razvoj dolazi kada cyber kriminalci kapitaliziraju kriptovalutu zasnovanu na Telegramu za novčanu dobit, pri čemu je ESET otkrio lažne prodavnice aplikacija koje promoviraju aplikaciju, GitHub repozitorije u kojima se nalazi Lumma Stealer za Windows pod krinkom alata za automatizaciju igre, i nezvanični Telegram kanal koji se koristi za distribuciju Android trojanca pod nazivom Ratel.
Popularna igra, koja je lansirana u martu 2024. godine, procjenjuje se da ima više od 250 miliona igrača, prema developeru igre. Izvršni direktor Telegrama Pavel Durov nazvao je Hamster Kombat “digitalnom uslugom s najbržim rastom na svijetu” i da će “Hamsterov tim kovati svoj token na TON-u , predstavljajući prednosti blockchaina stotinama miliona ljudi”.
Ratel, koji se nudi putem Telegram kanala pod nazivom “hamster_easy”, dizajniran je da oponaša igru (“Hamster.apk”) i traži od korisnika da joj dodijele pristup obavijestima i postave se kao zadana aplikacija za SMS. Nakon toga inicira kontakt sa udaljenim serverom kako bi dobio telefonski broj kao odgovor.
U sljedećem koraku, zlonamjerni softver šalje SMS poruku na ruskom jeziku na taj broj telefona, koji vjerovatno pripada operaterima zlonamjernog softvera, kako bi putem SMS-a dobio dodatne upute.
“Hakeri tada postaju sposobni da kontrolišu kompromitovani uređaj putem SMS-a: poruka operatera može sadržati tekst koji treba da se pošalje na određeni broj, ili čak instrukcije uređaju da pozove broj”, rekao je ESET . „Zlonamjerni softver takođe može provjeriti trenutno stanje na bankovnom računu žrtve za Sberbank Russia slanjem poruke sa tekstualnim stanjem (prevod: stanje) na broj 900.“
Ratel zloupotrebljava svoje dozvole za pristup obavještenjima da sakrije obavještenja od ne manje od 200 aplikacija na osnovu tvrdo kodirane liste koja je ugrađena u njega. Sumnja se da se to radi u pokušaju da se žrtve pretplate na razne premium usluge i da se spriječi njihovo upozorenje.
Slovačka firma za cyber sigurnost rekla je da je takođe uočila lažne izloge aplikacija koje tvrde da nude Hamster Kombat za preuzimanje, ali zapravo usmjeravaju korisnike na neželjene reklame, i GitHub spremišta koja nude alate za automatizaciju Hamster Kombat koji umjesto toga koriste Lumma Stealer.
“Uspjeh Hamster Kombat-a takođe je izvukao cyber kriminalce, koji su već počeli da postavljaju zlonamjerni softver koji cilja na igrače igre”, rekli su Štefanko i Peter Strýček. “Hamster Kombat popularnost čini ga zrelim za zloupotrebe, što znači da je velika vjerovatnoća da će igra privući više zlonamjernih aktera u budućnosti.”
BadPack Android zlonamjerni softver proklizava kroz pukotine
Osim Telegrama, zlonamjerne APK datoteke koje ciljaju na Android uređaje takođe su poprimile oblik BadPack-a, koji se odnose na posebno kreirane paketne datoteke u kojima su informacije zaglavlja korištene u formatu ZIP arhive izmijenjene u pokušaju da se opstruira statička analiza.
Pri tome, ideja je spriječiti da se datoteka AndroidManifest.xml – ključna datoteka koja pruža bitne informacije o mobilnoj aplikaciji – izvuče i pravilno analizira, čime se omogućava instaliranje zlonamjernih artefakata bez podizanja ikakvih crvenih zastavica.
Ovu tehniku je Kaspersky opširno dokumentovao ranije ovog aprila u vezi sa Android trojancem koji se naziva SoumniBot koji je ciljao korisnike u Južnoj Koreji. Telemetrijski podaci koje je prikupila Palo Alto Networks Unit 42 od juna 2023. do juna 2024. otkrili su skoro 9.200 uzoraka BadPack-a u divljini, iako nijedan od njih nije pronađen na Google Play Store-u.
“Ova neovlaštena zaglavlja su ključna karakteristika BadPacka, a takvi uzorci obično predstavljaju izazov za Android alate za obrnuti inženjering”, rekao je istraživač Unit 42 Lee Wei Yeong u izvještaju objavljenom prošle sedmice. “Mnogi bankarski trojanci zasnovani na Androidu kao što su BianLian, Cerberus i TeaBot koriste BadPack.”
Ažuriraj
U izjavi koju je podijelio sa The Hacker News, Telegram je rekao da eksploatacija nije ranjivost na platformi i da je 9. jula 2024. implementirao ispravku na strani servera kako bi osigurao korisnike.
“Od korisnika bi bilo potrebno da otvore video, prilagode sigurnosne postavke Androida i zatim ručno instaliraju ‘medijsku aplikaciju’ sumnjivog izgleda”, rekla je kompanija, naglašavajući da eksploatacija predstavlja sigurnosni rizik samo kada korisnici instaliraju aplikaciju nakon što zaobiđu sigurnosna funkcija.
Google je saopštio da su korisnici Androida automatski zaštićeni od trojanaca putem Google Play Protecta, koji je podrazumjevano omogućen na svim uređajima sa Google Play uslugama. “Google Play Protect može upozoriti korisnike ili blokirati aplikacije za koje se zna da pokazuju zlonamjerno ponašanje, čak i kada te aplikacije dolaze iz izvora izvan Playa”, navodi se.
Izvor:The Hacker News