Vulnerabilidad en la App de Telegram Explotada para Propagar Malware Oculto en Videos

XPoint
Publicado el 24/07/2024

Una vulnerabilidad de día cero en la aplicación móvil de Telegram para Android, llamada EvilVideo, permitía a los atacantes enviar archivos maliciosos disfrazados de videos inofensivos.

El exploit apareció a la venta por un precio desconocido en un foro clandestino el 6 de junio de 2024, según ESET. Tras la divulgación responsable el 26 de junio, el problema fue solucionado por Telegram en la versión 10.14.5 lanzada el 11 de julio.

«Los atacantes podían compartir cargas maliciosas de Android a través de canales, grupos y chats de Telegram, y hacerlas parecer archivos multimedia», dijo el investigador de seguridad Lukáš Štefanko en un informe.

Se cree que la carga útil se crea utilizando la interfaz de programación de aplicaciones (API) de Telegram, que permite la carga programática de archivos multimedia en chats y canales. Al hacerlo, permite a un atacante camuflar un archivo APK malicioso como un video de 30 segundos.

Los usuarios que hacen clic en el video ven un mensaje de advertencia que indica que el video no se puede reproducir y les insta a intentar reproducirlo usando un reproductor externo. Si proceden con el paso, se les pide que permitan la instalación del archivo APK a través de Telegram. La aplicación en cuestión se llama «xHamster Premium Mod».

«Por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente», dijo Štefanko. «Esto significa que los usuarios con la opción habilitada descargarán automáticamente la carga maliciosa una vez que abran la conversación donde se compartió».

Aunque esta opción se puede deshabilitar manualmente, la carga útil aún se puede descargar tocando el botón de descarga que acompaña al supuesto video. Cabe señalar que el ataque no funciona en los clientes de Telegram para la web o la aplicación dedicada de Windows.

Actualmente no está claro quién está detrás del exploit y cuán ampliamente se utilizó en ataques reales. Sin embargo, el mismo actor anunció en enero de 2024 un criptoinvisible de Android totalmente indetectable (también conocido como cryptor) que supuestamente puede eludir Google Play Protect.

 

Éxito Viral de Hamster Kombat Genera Copias Maliciosas

 

El desarrollo se produce cuando los ciberdelincuentes están aprovechando el juego de criptomonedas basado en Telegram, Hamster Kombat, para obtener ganancias monetarias, con ESET descubriendo tiendas de aplicaciones falsas que promueven la aplicación, repositorios de GitHub que alojan Lumma Stealer para Windows bajo la apariencia de herramientas de automatización para el juego, y un canal no oficial de Telegram que se utiliza para distribuir un troyano de Android llamado Ratel.

El popular juego, que se lanzó en marzo de 2024, se estima que tiene más de 250 millones de jugadores, según el desarrollador del juego. El CEO de Telegram, Pavel Durov, ha llamado a Hamster Kombat el «servicio digital de más rápido crecimiento en el mundo» y que «el equipo de Hamster acuñará su token en TON, introduciendo los beneficios de la blockchain a cientos de millones de personas».

Ratel, ofrecido a través de un canal de Telegram llamado «hamster_easy», está diseñado para hacerse pasar por el juego («Hamster.apk») y solicita a los usuarios que le otorguen acceso a las notificaciones y se establezca como la aplicación de SMS predeterminada. Posteriormente, inicia contacto con un servidor remoto para obtener un número de teléfono como respuesta.

En el siguiente paso, el malware envía un mensaje SMS en ruso a ese número de teléfono, probablemente perteneciente a los operadores del malware, para recibir instrucciones adicionales por SMS.

«Los actores de amenazas luego se vuelven capaces de controlar el dispositivo comprometido a través de SMS: El mensaje del operador puede contener un texto para ser enviado a un número específico, o incluso instruir al dispositivo para que llame al número», dijo ESET. «El malware también puede verificar el saldo de la cuenta bancaria actual de la víctima en Sberbank Rusia enviando un mensaje con el texto баланс (traducción: saldo) al número 900».

Ratel abusa de sus permisos de acceso a notificaciones para ocultar notificaciones de no menos de 200 aplicaciones basadas en una lista codificada dentro de él. Se sospecha que esto se hace en un intento de suscribir a las víctimas a varios servicios premium y evitar que sean alertados.

La firma de ciberseguridad eslovaca también observó tiendas de aplicaciones falsas que afirman ofrecer Hamster Kombat para su descarga, pero en realidad dirigen a los usuarios a anuncios no deseados, y repositorios de GitHub que ofrecen herramientas de automatización de Hamster Kombat que despliegan Lumma Stealer en su lugar.

«El éxito de Hamster Kombat también ha atraído a los ciberdelincuentes, quienes ya han comenzado a desplegar malware dirigido a los jugadores del juego», dijeron Štefanko y Peter Strýček. «La popularidad de Hamster Kombat lo hace propenso al abuso, lo que significa que es muy probable que el juego atraiga a más actores maliciosos en el futuro».

 

Malware BadPack para Android Evade la Detección

 

Más allá de Telegram, los archivos APK maliciosos que apuntan a dispositivos Android también han adoptado la forma de BadPack, que se refiere a archivos de paquete especialmente diseñados en los que la información del encabezado utilizada en el formato de archivo ZIP se ha alterado en un intento de obstruir el análisis estático.

Al hacerlo, la idea es evitar que el archivo AndroidManifest.xml, un archivo crucial que proporciona información esencial sobre la aplicación móvil, sea extraído y analizado correctamente, lo que permite que se instalen artefactos maliciosos sin levantar ninguna bandera roja.

Esta técnica fue documentada extensamente por Kaspersky en abril pasado en relación con un troyano de Android denominado SoumniBot que ha apuntado a usuarios en Corea del Sur. Los datos de telemetría recopilados por Palo Alto Networks Unit 42 de junio de 2023 a junio de 2024 detectaron casi 9,200 muestras de BadPack en la naturaleza, aunque ninguna de ellas se encontró en Google Play Store.

«Estos encabezados manipulados son una característica clave de BadPack, y tales muestras típicamente representan un desafío para las herramientas de ingeniería inversa de Android», dijo el investigador de Unit 42, Lee Wei Yeong, en un informe publicado la semana pasada. «Muchos troyanos bancarios basados en Android como BianLian, Cerberus y TeaBot usan BadPack».

 


English

Telegram App Flaw Exploited to Spread Malware Hidden in Videos

 

A zero-day security flaw in Telegram’s mobile app for Android, called EvilVideo, made it possible for attackers to send malicious files disguised as harmless-looking videos.

The exploit appeared for sale for an unknown price in an underground forum on June 6, 2024, ESET said. Following responsible disclosure on June 26, the issue was addressed by Telegram in version 10.14.5 released on July 11.

«Attackers could share malicious Android payloads via Telegram channels, groups, and chat, and make them appear as multimedia files,» security researcher Lukáš Štefanko said in a report.

It’s believed that the payload is concocted using Telegram’s application programming interface (API), which allows for programmatic uploads of multimedia files to chats and channels. In doing so, it enables an attacker to camouflage a malicious APK file as a 30-second video.

Users who click on the video are displayed an actual warning message stating the video cannot be played and urges them to try playing it using an external player. Should they proceed with the step, they are subsequently asked to allow installation of the APK file through Telegram. The app in question is named «xHamster Premium Mod.»

«By default, media files received via Telegram are set to download automatically,» Štefanko said. «This means that users with the option enabled will automatically download the malicious payload once they open the conversation where it was shared.»

While this option can be disabled manually, the payload can still be downloaded by tapping the download button accompanying the supposed video. It’s worth noting that the attack does not work on Telegram clients for the web or the dedicated Windows app.

It’s currently not clear who is behind the exploit and how widely it was used in real-world attacks. The same actor, however, advertised in January 2024 a fully undetectable Android crypter (also known as cryptor) that can reportedly bypass Google Play Protect.

 

Hamster Kombat’s Viral Success Spawns Malicious Copycats

 

The development comes as cyber criminals are capitalizing on the Telegram-based cryptocurrency game Hamster Kombat for monetary gain, with ESET discovering fake app stores promoting the app, GitHub repositories hosting Lumma Stealer for Windows under the guise of automation tools for the game, and an unofficial Telegram channel that’s used to distribute an Android trojan called Ratel.

The popular game, which launched in March 2024, is estimated to have more than 250 million players, according to the game developer. Telegram CEO Pavel Durov has called Hamster Kombat the «fastest-growing digital service in the world» and that «Hamster’s team will mint its token on TON, introducing the benefits of blockchain to hundreds of millions of people.»

Ratel, offered via a Telegram channel named «hamster_easy,» is designed to impersonate the game («Hamster.apk») and prompts users to grant it notification access and set itself as the default SMS application. It subsequently initiates contact with a remote server to get a phone number as a response.

In the next step, the malware sends a Russian language SMS message to that phone number, likely belonging to the malware operators, to receive additional instructions over SMS.

«The threat actors then become capable of controlling the compromised device via SMS: The operator message can contain a text to be sent to a specified number, or even instruct the device to call the number,» ESET said. «The malware is also able to check the victim’s current banking account balance for Sberbank Russia by sending a message with the text баланс (translation: balance) to the number 900.»

Ratel abuses its notification access permissions to hide notifications from no less than 200 apps based on a hard-coded list embedded within it. It’s suspected that this is being done in an attempt to subscribe the victims to various premium services and prevent them from being alerted.

The Slovakian cybersecurity firm said it also spotted fake application storefronts claiming to offer Hamster Kombat for download, but actually directs users to unwanted ads, and GitHub repositories offering Hamster Kombat automation tools that deploy Lumma Stealer instead.

«The success of Hamster Kombat has also brought out cybercriminals, who have already started to deploy malware targeting the players of the game,» Štefanko and Peter Strýček said. «Hamster Kombat’s popularity makes it ripe for abuse, which means that it is highly likely that the game will attract more malicious actors in the future.»

 

 

BadPack Android Malware Slips Through the Cracks

 

Beyond Telegram, malicious APK files targeting Android devices have also taken the form of BadPack, which refer to specially crafted package files in which the header information used in the ZIP archive format has been altered in an attempt to obstruct static analysis.

In doing so, the idea is to prevent the AndroidManifest.xml file – a crucial file that provides essential information about the mobile application – from being extracted and properly parsed, thereby allowing malicious artifacts to be installed without raising any red flags.

This technique was extensively documented by Kaspersky earlier this April in connection with an Android trojan referred to as SoumniBot that has targeted users in South Korea. Telemetry data gathered by Palo Alto Networks Unit 42 from June 2023 through June 2024 has detected nearly 9,200 BadPack samples in the wild, although none of them have been found on Google Play Store.

«These tampered headers are a key feature of BadPack, and such samples typically pose a challenge for Android reverse engineering tools,» Unit 42 researcher Lee Wei Yeong said in a report published last week. «Many Android-based banking Trojans like BianLian, Cerberus and TeaBot use BadPack.»

Preguntas frecuentes

¿Qué es Telegram?

+

Telegram es una plataforma de mensajería y VOIP de origen ruso, desarrollada por los hermanos Nikolái y Pável Dúrov.​ La aplicación está enfocada en la mensajería instantánea, el envío de varios archivos y la comunicación en masa.

¿Qué es y para qué sirve un Pentesting?

+

El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos