#evilloader — Public Fediverse posts on home.social

В TELEGRAM ВИЯВИЛИ СТАРУ-НОВУ ВРАЗЛИВІСТЬ. ВИМИКАЙТЕ АВТОЗАВАНТАЖЕННЯ!

Вразливість про яку йде мова, вперше була зафіксована ще у 2024-му році (CVE-2024-7014) й описана дослідниками ESET (https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/). Потім її начебто полагодили... І ось на днях дослідник 0x6rss (https://cti.monster/blog/2025/03/04/evilloader.html) заявив, що вона знову працює!

Також з'явилася розгорнута стаття на порталі Mobile Hacker (https://www.mobile-hacker.com/2025/03/05/evilloader-unpatched-telegram-for-android-vulnerability-disclosed/). Паралельно з цим, на форумі XSS.IS (https://xss.is/threads/130933/) відновили продаж експлойту "EvilLoader", який експлуатує цю діру.

POC вже розмістили на GitHub і його потихеньку "розкручують": https://github.com/0x6rss/telegram-video-extension-manipulation-PoC

Я вирішив теж погратися з ним і записав відео з підтвердженням, що ця вразливість актуальна станом на 05.03.2025 в Telegram Android v11.7.4 (остання найсвіжіша версія).

Отже, як цей баг працює і чим він небезпечний?

1. Хакер створює в Telegram через @BotFather бота, називає його якось по цікавому, наприклад "Free Telegram Premium", "OsintProbyvUA_bot" або "SBU_infobot" і запускає в оборот. Його завдання - підсунути вам свого бота. Зробити це він зможе під будь-яким соусом чи предлогом.

2. Необізнана наївна жертва заходить в цей бот, тисне кнопку START і запускає його. Бот у відповідь відправляє фейковий відеофайл mp4, який насправді є шкідливим htm-файлом. У цьому і полягає вся вразливість - API Telegram дозволяє будь-кому зловживати довірою до нього і відправляти користувачам фальшивий файл у вигляді відео!

3. Далі жертва пробує натиснути на "відео", щоб переглянути його. І тут сам Telegram повідомляє жертві, що його неможливо переглянути у месенджері і треба відкрити сторонній додаток. Жертва натискає ОPEN і Android пропонує відеоплеєр чи браузер Chrome. Мене дивує, що зі сторони Telegram ані слова про те, що це насправді фальшивий файл, а не відео!

4. Як тільки жертва відкриває та завантажує відео - в дію вступає реверс-шел або IP-логгер, або будь-яке інше шпигунське, шкідливе ПЗ. Зловмисник фактично з його допомогою зламує пристрій жертви і бере під контроль Android OS.

Якщо у вас в Телеграмі увімкене "Автозавантаження медіа", тоді цей шкідливий файл сам автоматично скачується на ваш пристрій і далі розгортається та закріплюється в системі.

Векторів і способів застосування цієї вразливості може бути безліч. В шкідливий файл .htm під виглядом відео можна запакувати що завгодно. Я наприклад побавився і зробив сторінку для скачування нібито безкоштовного APK-додатка Telegram Premium. Креативні фішери ж запросто згенерують вам ціле дзеркало "Google PlayStore" й користувач ніколи не відрізнить його від справжнього, просто візьме і скачає нібито "легітимну" аплікуху з реверс-шелом.

Ось так зламуються мобільні пристрої. Ви часто дзвонили і питали, як зламати смартфон, як зламати Telegram. Все банально просто. Не шукайте тут чогось надвичайного.

Як захиститися?

1. Найперше, перейдіть в свій Telegram, оберіть "Settings" (Налаштування), відкрийте "Data and Storage" ("Дані і пам'ять") і в блоці "Automatic Media Download" ("Автозавантаження медіа") у всіх розділах ("Через мобільну мережу","Через Wi-Fi", "Через роумінг") вимкніть перемикач «Завантажувати автоматично». Тепер фото і відео будуть завантажуватися лише вашим натисканням по зображенню.

2. Не підвантажувати неперевірений контент. Не завантажувати будь-які підозрілі відео, стікери чи зображення в Telegram від незнайомих людей. І знайомих теж (вони можуть бути зламані). Я особисто знаю людину, яка дуже любила приймати різні картинки із сердечками, і в одному з них "сидів" інфо-стилер...

3. Оновити свій Android і Telegram до останньої версії. Хоча, це напевне мало чим допоможе. Ця вразливість присутня навіть в найсвіжішому Телеграм v11.7.4. І я думаю, Дуров не буде її виправляти, так як для нього це - "ФІЧА", а не БАГ. Він вже давно довів своє відношення до безпеки.

4. Подбати про захист мобільного пристрою. Встановити VPN/Firewall/Антивірус. Будь-який з цих додатків допоможе у даній ситуації. Основна мета - заблокувати будь-які спроби проникнення на пристрій і несанкціоновані з'єднання. VPN зашифрує і анонімізує ваш IP, а Файєрол або Антивірус заблокує їх.

5. Вимкніть в налаштуваннях Android опцію встановлення додатків з ненадійних джерел.

До речі, таким способом, тільки через картинку, проводили деанонімізацію користувачів Telegram, протестувальників в Білорусі. Так що це не жарти. І гіпотетично, цим зараз будуть активно зловживати.

Середньостатистичні користувачі - ідеальні жертви для подібних атак. Дитина або людина похилого віку 100% попадуться на цей гачок. В Facebook вся стрічка українців заповнена повідомленнями "Мій Telegram зламали" (https://www.youtube.com/shorts/r-kpndAyuJQ). Тому що, тут складно розгледіти підвох - Telegram не застерігає користувача, а навпаки заохочує відкрити сторонній додаток і вийти за межі комфорту. А сам файл автоматично скачується на носій й відкривається за адресою "content://org.telegram.messenger.provider/media/Android/data/org.telegram.messenger/files/Telegram/Telegram%20Video/fake.htm". Користувачу може здатися, що це легітимний домен Telegram, тож він нічого не запідозрить...

Так що я вас попередив. Бережіть себе!

P.S. Повністю готовий робочий скрипт з IP-логгером для деанонімізації через Telegram в нашому GitHub: https://github.com/krlabs/telegram_ethical_hacking/tree/main/CVE-2024-7014

#telegram #CVE_2024_7014 #durov #messenger #pavel_durov #cybersecurity #POC #security #infosec #кібербезпека #itnews
#evilloader #телеграм #vulnerabilities #bugs #tg