{"id":51509,"date":"2024-07-24T17:46:25","date_gmt":"2024-07-24T20:46:25","guid":{"rendered":"https:\/\/temucotelevision.cl\/web\/?p=51509"},"modified":"2024-07-25T11:24:48","modified_gmt":"2024-07-25T14:24:48","slug":"evilvideo-cibercriminales-distribuyen-en-telegram-archivos-maliciosos-disfrazados-de-videos","status":"publish","type":"post","link":"https:\/\/temucotelevision.cl\/web\/2024\/07\/24\/evilvideo-cibercriminales-distribuyen-en-telegram-archivos-maliciosos-disfrazados-de-videos\/","title":{"rendered":"EvilVideo: Cibercriminales distribuyen en Telegram archivos maliciosos disfrazados de videos"},"content":{"rendered":"
<\/div>

<\/path><\/svg><\/i> \"Loading\"<\/p>

<\/div>\n

ESET descubri\u00f3 un exploit que permite a los atacantes enviar cargas maliciosas como archivos de v\u00eddeo en Telegram para Android sin parchear.<\/em><\/h2>\n\n\n\n

El equipo de investigaci\u00f3n de ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 un exploit zero-day de Telegram para Android que aprovecha una vulnerabilidad y permite a los atacantes enviar archivos maliciosos camuflados como v\u00eddeos.<\/p>\n\n\n\n

ESET identific\u00f3 un exploit de d\u00eda cero de Telegram para Android a la venta en un foro clandestino. La vulnerabilidad que explota permite enviar payloads maliciosos que parecen archivos multimedia a trav\u00e9s del chat de Telegram. Si un usuario intenta reproducir el v\u00eddeo aparente, recibir\u00e1 una solicitud para instalar una aplicaci\u00f3n externa, que en realidad instala la carga maliciosa. La vulnerabilidad ha sido corregida desde el 11 de julio de 2024, despu\u00e9s de que ESET informara de ella a Telegram.<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Pie de imagen: Video<\/a> con la demostraci\u00f3n y explicaci\u00f3n de la vulnerabilidad EvilVideo.<\/p>\n\n\n\n

El equipo de investigaci\u00f3n de ESET identific\u00f3 el exploit a la venta en un foro clandestino:<\/p>\n\n\n\n

\"Figure<\/figure>\n\n\n\n

Pie de imagen: Anuncio en un foro clandestino<\/em><\/p>\n\n\n\n

El an\u00e1lisis del exploit realizado por ESET revel\u00f3 que funciona en las versiones de Telegram 10.14.4 y anteriores. Se especula que es probable que el payload espec\u00edfico se haya creado utilizando la API de Telegram, ya que permite a los desarrolladores subir archivos multimedia creados espec\u00edficamente a los chats o canales de Telegram mediante programaci\u00f3n.<\/p>\n\n\n\n

\u201cEl exploit parece depender de que el actor de la amenaza sea capaz de generar una carga \u00fatil que muestre una aplicaci\u00f3n de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un v\u00eddeo de 30 segundos<\/em>\u201d, comenta Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.<\/p>\n\n\n\n

\"Figure<\/figure>\n\n\n\n

Pie de imagen: Ejemplo del exploit<\/em><\/p>\n\n\n\n

Por defecto, los archivos multimedia recibidos a trav\u00e9s de Telegram est\u00e1n configurados para descargarse autom\u00e1ticamente. Esto significa que los usuarios con la opci\u00f3n activada descargar\u00e1n autom\u00e1ticamente la carga maliciosa una vez que abran la conversaci\u00f3n en la que se comparti\u00f3. La opci\u00f3n se puede desactivar manualmente, en cuyo caso, la carga se puede descargar pulsando el bot\u00f3n de descarga situado en la esquina superior izquierda del v\u00eddeo compartido. Si el usuario intenta reproducir el v\u00eddeo, la carga se descargar\u00e1 autom\u00e1ticamente.<\/p>\n\n\n\n

\u201cSi el usuario intenta reproducir el \u201cv\u00eddeo\u201d, Telegram muestra un mensaje de que no puede reproducirlo y sugiere utilizar un reproductor externo. Se trata de una advertencia original de Telegram que encontramos en el c\u00f3digo fuente de la aplicaci\u00f3n leg\u00edtima de Telegram para Android; no ha sido creada ni empujada por la carga maliciosa\u201d, <\/em>agrega el investigador de ESET.<\/p>\n\n\n\n

\"Figure<\/figure>\n\n\n\n

Pie de imagen:  Aviso de Telegram de que no puede reproducir el “v\u00eddeo”<\/em><\/p>\n\n\n\n

En caso de que el usuario pulse el bot\u00f3n Abrir en el mensaje, se le pedir\u00e1 que instale una aplicaci\u00f3n maliciosa disfrazada como el reproductor externo. Antes de la instalaci\u00f3n, Telegram pedir\u00e1 al usuario que habilite la instalaci\u00f3n de apps desconocidas.<\/p>\n\n\n\n

\"Figure<\/figure>\n\n\n\n

Pie de imagen: Telegram solicita al usuario que le permita instalar apps desconocidas.<\/em><\/p>\n\n\n\n

En este punto, la app maliciosa en cuesti\u00f3n ya ha sido descargada como el aparente archivo de v\u00eddeo, pero con la extensi\u00f3n .apk. Es la naturaleza de la vulnerabilidad la que hace que el archivo compartido parezca un v\u00eddeo: la aplicaci\u00f3n maliciosa real no se alter\u00f3 para hacerse pasar por un archivo multimedia, lo que sugiere que lo m\u00e1s probable es que se aprovechara el proceso de carga. <\/p>\n\n\n\n

\"Figure<\/figure>\n\n\n\n

Pie de imagen: Solicitud de instalaci\u00f3n de carga maliciosa, detectada como Android\/Spy.SpyMax.T tras la explotaci\u00f3n<\/em><\/p>\n\n\n\n

A pesar de que el payload fue creado \u00fanicamente para Telegram para Android, desde ESET se intent\u00f3 probar su comportamiento en otros clientes de Telegram, como Telegram Web o Telegram Desktop para Windows, pero el exploit no funcion\u00f3 en ninguno de ellos. En el caso de Telegram Web, despu\u00e9s de intentar reproducir el \u201cv\u00eddeo\u201d, el cliente mostr\u00f3 un mensaje de error diciendo que se intente abrir el v\u00eddeo con la aplicaci\u00f3n de escritorio en su lugar. <\/p>\n\n\n\n

\"Figure<\/figure>\n\n\n\n

Pie de imagen: Mensaje de error de Telegram Web al activar el exploit<\/em><\/p>\n\n\n\n

No se pudo identificar el actor de la amenaza, pero se identificaron otros servicios sospechosos que se compartieron en su mensaje del foro. Adem\u00e1s del exploit, han estado utilizando el mismo foro clandestino para anunciar un cryptor-as-a-service para Android que afirman que es totalmente indetectable (FUD). <\/p>\n\n\n\n

\"Figure<\/figure>\n\n\n\n

Pie de imagen: Mensaje en un foro clandestino anunciando un cryptor-as-a-service para Android.<\/em><\/p>\n\n\n\n

\u201cLa vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, pero ha sido parcheada a partir de la versi\u00f3n 10.14.5. Seg\u00fan comprob\u00f3 el equipo de ESET, la vista previa multimedia del chat ahora muestra correctamente que el archivo compartido es una aplicaci\u00f3n y no un v\u00eddeo\u201d, <\/em>concluye Guti\u00e9rrez Amaya de ESET.<\/p>\n\n\n\n

\"Figure<\/figure>\n\n\n\n

Pie de imagen: El chat de la versi\u00f3n 10.14.5 de Telegram muestra correctamente la naturaleza del archivo binario compartido<\/em><\/p>\n\n\n\n

Para conocer m\u00e1s sobre seguridad inform\u00e1tica visite el portal de noticias de ESET: https:\/\/www.welivesecurity.com\/es\/investigaciones\/evilvideo-exploit-permite-distribuir-archivos-maliciosos-videos-telegram\/<\/a><\/p>\n\n\n\n

Por otro lado, ESET invita a conocer Conexi\u00f3n Segura<\/strong><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a: https:\/\/open.spotify.com\/show\/0Q32tisjNy7eCYwUNHphcw<\/a><\/p>\n\n\n\n

Vis\u00edtanos en: <\/strong> <\/p>\n\n\n\n

  \"http:\/\/jesusmartinezgimenez.com\/wp-content\/uploads\/2013\/10\/Twitter_Logo_Volt1.png\" @ESETLA<\/a>   \"http:\/\/www.gedestic.es\/wp-content\/uploads\/2013\/10\/linkedin-logo.png\"  \/compay\/eset-latinoamerica<\/a>     \/esetla<\/a>    \/ESETLA<\/a>     \/@esetla<\/a><\/p>\n\n\n\n

Acerca de ESET<\/strong><\/p>\n\n\n\n

Desde 1987, ESET\u00ae desarrolla soluciones de seguridad que ayudan a m\u00e1s de 100 millones de usuarios a disfrutar la tecnolog\u00eda de forma segura. Su portfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protecci\u00f3n proactiva. La empresa cuenta con una red global de ventas que abarca 180 pa\u00edses y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, M\u00e9xico DF y San Pablo.\u00a0<\/p>\n\n\n\n

Desde Telegram comunican lo siguiente: <\/p>\n\n\n\n

Este exploit no es una vulnerabilidad en Telegram. Habr\u00eda requerido que los usuarios abrieran el video, ajustaran la configuraci\u00f3n de seguridad de Android y luego instalaran manualmente una “aplicaci\u00f3n multimedia” de aspecto sospechoso.<\/p>\n\n\n\n

Recibimos un informe sobre este exploit el 5 de julio y el 9 de julio se implement\u00f3 una soluci\u00f3n del lado del servidor para proteger a los usuarios en todas las versiones de Telegram, indic\u00f3 V\u00edctor Espinoza, Telegram Messenger.<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

<\/div>\n

<\/path><\/svg><\/i> \"Loading\"<\/p>\n

<\/div>\n

ESET descubri\u00f3 un exploit que permite a los atacantes enviar cargas maliciosas como archivos de v\u00eddeo en Telegram para Android<\/p>\n","protected":false},"author":1,"featured_media":51510,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[6973],"tags":[7083,7117],"class_list":["post-51509","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-eset","tag-telegram"],"a3_pvc":{"activated":true,"total_views":1199,"today_views":0},"_links":{"self":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/51509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/comments?post=51509"}],"version-history":[{"count":4,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/51509\/revisions"}],"predecessor-version":[{"id":51522,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/51509\/revisions\/51522"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/media\/51510"}],"wp:attachment":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/media?parent=51509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/categories?post=51509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/tags?post=51509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}