محققان ESET، یک بدافزار مخرب، در نسخهی اندروید تلگرام کشف کردند که امکان ارسال فایل مخرب با پیشنمایش فایل ویدیویی را فراهم میکند. این اکسپلویت دریکی از انجمنهای هکری، باقیمتی نامشخص از 6 ژوئن برای فروش گذاشتهشده بود.
محققان ESET، نوعی اکسپلویت روز صفر (day-0)، در نسخهی اندروید تلگرام کشف کردند که امکان ارسال فایل مخرب با پیشنمایش فایل ویدیویی را فراهم میکند. این اکسپلویت دریکی از انجمنهای هکری، باقیمتی نامشخص از 6 ژوئن برای فروش گذاشتهشده بود. این اکسپلویت که توسط محققان «EvilVideo» نامگرفته است، این امکان را فراهم میکند که مهاجم بتواند پیلودهای مخرب ( بدافزار) اندرویدی را در کانالها، گروهها و چتها با پیشنمایش فایلهای رسانهای به اشتراک بگذارد.
محققان نمونهای از این اکسپلویت را به دست آوردند تا آن را آنالیز کنند؛ آنها درنهایت در 29 ژوئن این مشکل را به تلگرام گزارش دادند و در 11 جولای نیز تلگرام این آسیبپذیری را در نسخهی 10.14.5 به بالا اصلاح کرد. بنابراین نسخههای اندرویدی 10.14.4 و پایینتر، همچنان در برابر این بدافزار آسیبپذیرند.
چهطور این مشکل بزرگ را فهمیدند؟
محققان این اکسپلویت را بهعنوان تبلیغ دریکی از فرومهای هکری مشاهده کردند. در این پست، فروشنده تعدادی اسکرین شات و ویدئو از تست اکسپلویت در یک کانال عمومی تلگرام منتشر کرده بود. محققان این کانال را درحالیکه پیلود همچنان در دسترس بوده، شناسایی کردند، با این کار پیلود را به دست آوردند و توانستند آن را آنالیز کنند.
محققان با بررسی این پیلود، متوجه شدند که اکسپلویت روی نسخههای 10.14.4 و قدیمیتر کار میکند. آنها حدس میزنند که بهاحتمالزیاد پیلود از طریق API تلگرام ساختهشده، چراکه به توسعهدهندگان این امکان را میدهد که فایلهای رسانهای خاصی را بهصورت برنامهنویسی شده در کانالها یا چتها آپلود کنند.
به نظر میرسد اکسپلویت به توانایی بازیگر تهدید برای ایجاد یک پیلود بستگی دارد که برنامهی اندرویدی را بهعنوان یک پیشنمایش چندرسانهای و نه بهعنوان یک پیوست باینری نمایش بدهد. این پیلود مخرب پس از به اشتراک گذاشتن در چت، بهصورت یک ویدیوی 30 ثانیهای ظاهر میشود.
در حالت پیشفرض، فایلهای رسانهای ارسالشده در تلگرام، بهصورت خودکار دانلود میشوند. بنابراین اگر کاربری گزینهی دانلود خودکار را همچنان فعال داشته باشد، با ورود به چت، بهصورت خودکار پیلود مخرب را دانلود میکند. ویژگی دانلود خودکار را میتوان از طریق تنظیمات غیرفعال کرد، اما در چنین شرایطی هم باز کاربر با زدن دکمه دانلود در گوشهی چپ سمت بالا، میتواند این پیلود را دانلود کند.
اگر کاربر ویدئو را پخش کند، تلگرام پیامی مبنی بر عدم امکان پخش این ویدیو نمایش داده و از کاربر میخواهد که با پخشکنندههای خارجی (اپلیکیشنی غیر از تلگرام) ویدیو را پخش کند(شکل زیر). این هشدار اصلی تلگرام است که محققان در سورس کد برنامه تلگرام برای اندروید پیدا کردند که توسط پیلود مخرب ساخته و نمایش داده نمیشود.
اگر کاربر دکمه Open را در پیام نمایش دادهشده انتخاب کند، به او درخواست نصب برنامه مخرب بهعنوان پخشکننده خارجی داده میشود. همانطور که در تصویر زیر دیده میشود، قبل از نصب از کاربر درخواست میشود که نصب برنامههای ناشناخته تلگرام را فعال کند.
در مرحله بعد، برنامه مخرب موردنظر، که قبلاً بهصورت پیشنمایش یک فایل ویدیویی نمایش دادهشده بود، با پسوند apk دانلود شده و کاربر در حقیقت فایل apk را بهعنوان پخشکننده خارجی نصب میکند. جالب اینجاست که ماهیت آسیبپذیری باعث میشود که فایل apk به اشتراک گذاشتهشده، درست مانند یک ویدئو به نظر برسد. برنامهی مخرب اصلاً برای این منظور دستکاری نشده است؛ به همین دلیل محققان بر این باورند که بهاحتمالزیاد بازیگر تهدید از فرآیند آپلود سو استفاده کرده است. محققان اعلام کردند که نتوانستند خود اکسپلویت را دوباره بازتولید کنند و فقط نمونهی به اشتراک گذاشته توسط فروشنده را بررسی و تائید کردند.
پس نسخهی وب و دسکتاپ چه میشود؟
بااینکه پیلود ارائهشده فقط برای نسخهی اندرویدی منتشرشده بود، اما محققان آن را در نسخه وب و تلگرام ویندوز نیز اجرا کردند و همانطور که پیشبینی میشد این اکسپلویت بر این نسخهها اجرا نشد.
در نسخه وب، بعد از پخش ویدئو پیامی مبنی بر باز کردن ویدئو در برنامههای دسکتاپ داده شد؛ در حالی که فایل درواقع یک باینری اجرایی اندروید (APK) بود، حتی اگر آن را بهصورت دستی هم دانلود میکردند، بانام و پسوند Teating.mp4 ذخیره میشد. خوشبختانه این فایل نوعی فایل MP4 شناخته شد و جلوی اکسپلویت نیز گرفته شد (برای مخرب بودن در این نسخه باید پسوند فایل apk باشد).
تقریباً در مورد نسخه دسکتاپ نیز همین اتفاق رخداده است. فایل دانلود شده بانام و پسوند Teating.apk.mp4 ذخیره شد. نکتهای که در این مرحله حائز اهمیت بود، این است که حتی اگر مهاجم از بدافزار ویندوزی (مثلاً با پسوند exe) استفاده کند، تلگرام آن را نوعی فایل رسانهای شناسایی میکند و جلوی اکسپلویت را میگیرد.
چه کسی پشت این ماجرا است؟
محققان اعلام کردند که اطلاعات زیادی در خصوص بازیگر تهدید ندارند، اما توانستند بر اساس اکانت تلگرامی که پستها را منتشر کرده است، سرویس مشکوک دیگری را در ارتباط با آنها پیدا کنند. این بازیگر تهدید در 11 ژانویه پست دیگری برای سرویس Android cryptor-as-a-service منتشر کرد که در آن ادعا کرده است، بدافزارهای اندرویدی را FUD میکند.
محققان پس از کشف این آسیبپذیری آن را در 26 ژوئن به تلگرام گزارش دادند اما تلگرام پاسخی به آنها نداد. در تاریخ 4 جولای بار دیگر این گزارش به تلگرام داده شد و این بار تلگرام پاسخ آنها را داد و درنهایت در 11 جولای با انتشار نسخهی 10.14.5 این آسیبپذیری را اصلاح کرد. بنابراین اگر تلگرام نسخهی اندرویدی را به نسخهی 10.14.5 یا بالاتر بروز کنید، فایل ارسالی دیگر بهصورت پیشنمایش یک فایل رسانهای نمایش داده نمیشود.
منبع: welivesecurity