Νέα προειδοποίηση για τους χρήστες Android αυτή την εβδομάδα, καθώς βίντεο που επισυνάπτονται σε μηνύματα και κρύβουν μια δυσάρεστη έκπληξη.
Αυτό που φαίνεται ως ένα απλό βίντεο κρύβει κακόβουλο κώδικα που εκτελείται με τη λήψη. Είναι η τελευταία προειδοποίηση για τους δισεκατομμύρια χρήστες του Telegram να είναι πολύ προσεκτικοί.
Η απειλή από το EvilLoader
Οι επιθέσεις αυτές εκμεταλλεύονται τον τρόπο που το Telegram χειρίζεται τα μέσα. «Ο βασικός λόγος για την ευπάθεια είναι ότι η μορφή αρχείου ‘.htm’ στην απάντηση στους server του Telegram θεωρείται βίντεο. Ο κώδικας “htm” ανοίγει σε πρόγραμμα περιήγησης κάτω από ‘content:/’… επιτρέποντας στη συγκεκριμένη HTML σελίδα να ενεργοποιηθεί και να ανοίξει».
Αυτό αναφέρει η νέα έκθεση από τη Cti Monster που δημοσιεύθηκε αυτή την εβδομάδα.
Οι επιπτώσεις
Πρόκειται γι αEvilLoader, η οποία ακολουθεί την EvilVideo, που ήδη γνωρίζουμε και η οποία «επιτρέπει στους επιτιθέμενους να κατεβάσουν και να εκτελέσουν επιπρόσθετους κακόβουλους οδηγούς στα στοχοθετημένα συστήματα».
Αν το τηλέφωνό σας μολυνθεί, τότε οι χάκερ μπορούν να υποκλέψουν τα διαπιστευτήριά σας και τα προσωπικά σας δεδομένο, ενώ μπορούν επίσης να εκαταστήσουν ιούς για τις τραπεζικές σας εφαρμογές.
Can we please stop using Telegram? https://t.co/Z7CVUf9cbG
— Naomi Brockwell priv/acc (@naomibrockwell) March 7, 2025
Πώς λειτουργεί η απάτη
Επειδή δεν πρόκειται για αρχείο βίντεο, ένα πρόγραμμα αναπαραγωγής πολυμέσων δεν θα μπορέσει να το αναπαραγάγει. «Μπορεί να γίνει ανακατεύθυνση στο προεπιλεγμένο πρόγραμμα περιήγησης ή, αν θεωρηθεί ότι πρόκειται για «αρχείο HTML», μπορεί να γίνει διπλό κλικ για να ανοίξει στο πρόγραμμα περιήγησης. Αυτό επιτρέπει την εκτέλεση της κακόβουλης JavaScript».
Εάν ένας χρήστης έχει κατεβάσει το αρχείο στο τηλέφωνό του, «νομίζοντας ότι πρόκειται για βίντεο, το πρόγραμμα περιήγησης εκτελεί στην πραγματικότητα το περιεχόμενο HTML και οι πληροφορίες IP πηγαίνουν στο διακομιστή του επιτιθέμενου».
Τα νέα χαρακτηριστικά του EvilLoader
Από την πρώτη του εμφάνιση, το EvilLoader πλέον ελέγχει για ένα περιβάλλον sandbox, το οποίο πιθανότατα σημαίνει το μηχάνημα ενός αναλυτή ασφαλείας, και εκτελείται μόνο σε γεωγραφικές περιοχές-στόχους. Το κακόβουλο λογισμικό έχει επίσης εντοπιστεί να προκαλεί ψεύτικες προειδοποιήσεις ασφαλείας ώστε να πείσει τους χρήστες να αλλάξουν ρυθμίσεις. Όλα αυτά σημαίνουν ότι η αρχική CVE-2024-7014 που διορθώθηκε πέρυσι χρειάζεται να επανεξεταστεί.
Οι χρήστες του Telegram πρέπει να διασφαλίσουν ότι χρησιμοποιούν την τελευταία έκδοση της εφαρμογής από επίσημο κατάστημα και να είναι πολύ προσεκτικοί με την αναπαραγωγή βίντεο από άγνωστες πηγές.