Kerentanan Zero-Day EvilVideo di Telegram untuk Android Memungkinkan Threat Actors Mengirim File Berbahaya yang Disamarkan sebagai Video.

ESET memperingatkan bahwa Threat Actors telah menggunakan kerentanan Telegram di ponsel yang menggunakan platform Android untuk mendistribusikan file berbahaya yang disamarkan sebagai dalam format video.

Perusahaan keamanan siber tersebut mengidentifikasi adanya kelemahan keamanan setelah menemukan di forum kejahatan siber sebuah iklan eksploitasi zero-day yang menargetkan Telegram untuk Android.

Menurut ESET, eksploitasi tersebut kemungkinan dikembangkan menggunakan API Telegram, yang memungkinkan developers mengupload file multimedia ke chat atau channel Telegram secara terprogram.

Kode tersebut mengeksploitasi kerentanan di Telegram untuk Android, yang oleh ESET disebut EvilVideo , memungkinkan attackers mengirimkan payloads berisi file APK yang ditampilkan sebagai pratinjau multimedia.

Secara default, Telegram mendownload file multimedia secara otomatis, artinya malicious payload secara otomatis diambil di perangkat pengguna.

Namun, ketika pengguna mencoba memutar video tersebut, Telegram menampilkan pesan sah (legitimate message) yang memperingatkan mereka bahwa ia tidak dapat memutar file dan menyarankan agar video tersebut dibuka di pemutar eksternal.

Kemudian, jika pengguna memilih opsi untuk membuka video di pemutar eksternal, mereka akan diminta untuk menginstall malicious aplikasi yang menyamar sebagai pemutar video. Telegram juga meminta pengguna untuk mengaktifkan instalasi aplikasi yang tidak dikenal.

ESET menambahkan bahwa “pada titik ini, aplikasi malicious tersebut telah didownload sebagai file video, tetapi dengan ekstensi .apk. Dan menariknya, sifat kerentananlah yang membuat file yang dibagikan terlihat seperti video – malicious app sebenarnya tidak diubah untuk menyamar sebagai file multimedia.”

Eksploitasi ini dibuat khusus untuk Telegram yang menggunakan platform Android dan tidak akan berfungsi di ponsel platform yang lain.

Analisis ESET terhadap eksploitasi tersebut mengarahkan mereka pada penemuan kerentanan mendasar EvilVideo, yang dilaporkan ke Telegram pada akhir Juni 2024 dan ditambal pada 11 Juli. Namun, eksploitasi zero-day telah tersedia untuk dijual sejak awal Juni.

Di forum underground yang sama tempat mereka menawarkan eksploitasi tersebut, threat actor telah mengiklankan cryptor-as-a-service Android yang diduga sepenuhnya tidak terdeteksi sejak Januari 2024.

EvilVideo memengaruhi Telegram untuk Android versi 10.14.4 dan yang lebih lama. Pengguna disarankan untuk memperbarui aplikasi Telegram ke versi 10.14.5, yang memperbaiki bug, membuat pratinjau chat multimedia menampilkan payload sebagai aplikasi dan bukan video dengan benar.

PEMBARUAN: Telegram telah memberikan pernyataan berikut:

“Eksploitasi ini bukanlah kerentanan di Telegram. Ini mengharuskan pengguna untuk membuka video, menyesuaikan pengaturan keamanan Android dan kemudian secara manual menginstal 'aplikasi media' yang tampak mencurigakan.

Kami menerima laporan tentang eksploitasi ini pada tanggal 5 Juli dan perbaikan sisi server diterapkan pada tanggal 9 Juli untuk melindungi pengguna di semua versi Telegram.”

So.., segera update versi Telegram anda, agar tetap bisa menggunakannya dengan aman.(BSSA-MF)