メッセージングアプリのTelegramのAndroid版において、悪意のあるAPKファイルを動画ファイルとして送信できるゼロデイ脆弱(ぜいじゃく)性が存在していたことを、サイバーセキュリティ企業のESETが報告しています。

Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android

https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/



Unmasking the Telegram Exploit - A Cybersecurity Breakdown with Lukas Stefanko - YouTube

Telegram zero-day for Android allowed malicious files to masquerade as videos

https://therecord.media/telegram-zero-day-android-app-eset

ESETは2024年6月26日にアンダーグラウンドフォーラムで、Android版Telegramを標的とするエクスプロイトが販売されていることを発見。このエクスプロイトに対しESETは「EvilVideo」と名付けています。



EvilVideoを分析した結果、このエクスプロイトはバージョン10.14.4以前のAndroid版Telegramで動作することが判明しました。EvilVideoは、EvilVideoは、Androidアプリにバイナリデータのファイルを添付することで、AndroidのTelegramアプリにマルチマディアプレビューとして表示させることができるという脆弱性に依存しています。そのため、EvilVideoを利用してチャット上で共有すると、悪意のあるペイロードは30秒の動画として表示されます。



デフォルトでは、Telegram経由で受信したメディアファイルはユーザーのデバイスに自動的にダウンロードされるよう設定されているため、このチャットを開いたユーザーは悪意のあるペイロードを自動的にダウンロードしてしまいます。また、自動ダウンロードをオフに設定している場合でも、左上のダウンロードボタンをタップすることでペイロードをダウンロードすることが可能です。



さらに、一見動画に見えるこのファイルをユーザーが再生しようとすると、Telegramは「この動画は再生できません」「外部プレーヤーを使用しますか」と尋ねてきます。



上述の画面で「Open」をタップすると、Telegramはユーザーに対し不明なアプリのインストールを有効にするよう求めてくるとのこと。



有効にすると、外部プレーヤーを装った悪意のあるアプリをインストールするように求められます。この悪意のあるAPKファイルをインストールしてしまうと、自身のデバイスにマルウェアなどのアプリがインストールされてしまうというわけです。



なお、ESETによるとこのエクスプロイトはWindows版では機能しなかったとのこと。



また、すぐにESETはこの脆弱性をTelegramに報告したそうです。この結果2024年7月11日に配信されたバージョン10.14.5では、APKファイルがチャットで共有された際に、マルチメディアプレビューに動画ではなくアプリケーションとして正しく表示されるようになっています。