En una reciente investigación, los expertos de ESET, pioneros en la detección proactiva de amenazas, han descubierto un exploit zero-day en la aplicación Telegram para dispositivos Android. Esta vulnerabilidad crítica permite a los cibercriminales distribuir archivos maliciosos que se camuflan bajo la apariencia de videos.
La compañía identificó la venta de este exploit en un foro clandestino, que tiene capacidad para engañar a los usuarios haciéndoles creer que están abriendo archivos multimedia legítimos a través de Telegram.
Los afectados, al intentar reproducir lo que parece ser un video, reciben una solicitud para instalar una aplicación externa. Sin embargo, esta acción no hace más que instalar la carga maliciosa en el dispositivo. Afortunadamente, esta vulnerabilidad ha sido resuelta a partir del 11 de julio de 2024, tras la notificación de ESET a Telegram.
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, explica: "El exploit parece depender de que el actor de la amenaza sea capaz de generar una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un vídeo de 30 segundos".
Publicidad
Normalmente, los archivos multimedia en Telegram se configuran para descargarse automáticamente, lo que aumenta el riesgo de que los usuarios descarguen la carga maliciosa sin darse cuenta. Si un usuario intenta reproducir el video, Telegram indica que no puede reproducirlo y sugiere utilizar un reproductor externo. Esta es una advertencia que aparece en el código fuente legítimo de la aplicación de Telegram para Android, y no es inducida por el malware.
En el caso de que el usuario siga las instrucciones y pulse el botón para abrir, se le solicitará que instale una aplicación maliciosa, disfrazada como el reproductor externo necesario.
Publicidad
La aplicación maliciosa ya ha sido descargada en este punto como el aparente archivo de video pero con la extensión .apk. A pesar de las pruebas realizadas por ESET, el exploit no tuvo efecto en otros clientes de Telegram, como la versión web o de escritorio.
A pesar de que el payload fue creado únicamente para Telegram para Android, desde ESET intentó probar su comportamiento en otros clientes de Telegram, como Telegram Web o Telegram Desktop para Windows, pero el exploit no funcionó en ninguno de ellos. En el caso de Telegram Web, después de intentar reproducir el “vídeo”, el cliente mostró un mensaje de error diciendo que se intente abrir el vídeo con la aplicación de escritorio en su lugar.
La compañía de seguridad también exploró otras amenazas relacionadas que se compartieron en el foro clandestino, incluyendo un "cryptor-as-a-service" para Android que promete ser totalmente indetectable.
Publicidad
La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, pero ha sido parcheada a partir de la versión 10.14.5. Según comprobó el equipo de ESET, la vista previa multimedia del chat ahora muestra correctamente que el archivo compartido es una aplicación y no un vídeo
Únase a nuestro canal de Whatsapp y manténgase al tanto de los hechos más relevantes.
✔️ Síganos en Google Noticias con toda la información de Colombia y el mundo.