Cibercriminales distribuyen archivos maliciosos disfrazados de videos en Telegram

ESET descubre un exploit que permite a los atacantes enviar cargas maliciosas como archivos de vídeo en Telegram para Android sin parchear

LA VOZ DE GOICOECHEA (Por Redacción).- El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, ha identificado un exploit zero-day en Telegram para Android que explota una vulnerabilidad permitiendo a los atacantes enviar archivos maliciosos camuflados como vídeos. Este exploit fue descubierto en un foro clandestino y afecta a las versiones de Telegram 10.14.4 y anteriores.

Modo de operación del exploit

El exploit permite enviar payloads maliciosos a través de los chats de Telegram que parecen ser archivos multimedia. Cuando un usuario intenta reproducir el vídeo aparente, recibe una solicitud para instalar una aplicación externa que, en realidad, contiene la carga maliciosa.

“El exploit parece depender de que el actor de la amenaza sea capaz de generar una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un vídeo de 30 segundos”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Descarga y ejecución automática

Por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. Esto significa que los usuarios con la opción activada descargarán automáticamente la carga maliciosa una vez que abran la conversación en la que se compartió. La opción se puede desactivar manualmente, en cuyo caso, la carga se puede descargar pulsando el botón de descarga situado en la esquina superior izquierda del vídeo compartido.

Si el usuario intenta reproducir el “vídeo”, Telegram muestra un mensaje de que no puede reproducirlo y sugiere utilizar un reproductor externo. Esta advertencia es parte del código fuente original de Telegram y no ha sido creada ni empujada por la carga maliciosa.

En caso de que el usuario pulse el botón “Abrir” en el mensaje, se le pedirá que instale una aplicación maliciosa disfrazada como el reproductor externo. Antes de la instalación, Telegram pedirá al usuario que habilite la instalación de apps desconocidas.

Investigación y parcheo de la vulnerabilidad

El análisis del exploit realizado por ESET reveló que probablemente el payload específico se haya creado utilizando la API de Telegram, ya que permite a los desarrolladores subir archivos multimedia creados específicamente a los chats o canales de Telegram mediante programación. A pesar de que el payload fue creado únicamente para Telegram para Android, ESET intentó probar su comportamiento en otros clientes de Telegram, como Telegram Web o Telegram Desktop para Windows, pero el exploit no funcionó en ninguno de ellos.

No se ha podido identificar al actor de la amenaza, pero se identificaron otros servicios sospechosos que se compartieron en su mensaje del foro, incluyendo un cryptor-as-a-service para Android que afirman es totalmente indetectable (FUD).

“La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, pero ha sido parcheada a partir de la versión 10.14.5. Según comprobó el equipo de ESET, la vista previa multimedia del chat ahora muestra correctamente que el archivo compartido es una aplicación y no un vídeo”, concluye Gutiérrez Amaya de ESET.

La vulnerabilidad ha sido corregida desde el 11 de julio de 2024, después de que ESET informara de ella a Telegram, asegurando la protección de los usuarios contra este tipo de ataques maliciosos.

- Goicoechea es el cantón número 8 de la provincia de San José, fundado en 1891. Hoy conformado por siete distritos: Guadalupe, San Francisco, Calle Blancos, Mata de Plátano, Ipís, Rancho Redondo y Purral. Donde orgullosamente decimos: "De la montaña a la ciudad, así se extiende mi cantón". "Goicoechea, Goicoechea, te llevo en el corazón." -

Los comentarios expresados en las secciones de opinión, reclamos del pueblo, campos pagados, negociemos, en la opinión de los lectores y comentarios de terceros al final de las notas o en las páginas de redes sociales, son responsabilidad exclusiva de sus autores.

La Voz de Goicoechea (www.lavozdegoicoechea.info) es un medio de comunicación independiente, y no toma como suyas dichas opiniones por lo que no se responsabiliza por el contenido emitido por terceros. Todas las imágenes que muestra este medio, se utilizan solo con fines ilustrativos, por tanto se respetan todos los derechos de autor según corresponda en cada caso, siendo nuestra principal labor de la informar a nuestros lectores.

Déjanos tus comentarios al final de cada nota que presentamos ;
nos interesa tú opinión al respecto. Te invitamos a participar...

Pueden escríbenos también a nuestro correo electrónico