Uma vulnerabilidade de dia zero no aplicativo Android do Telegram, conhecida como EvilVideo, permitiu que invasores distribuíssem arquivos maliciosos disfarçados de vídeos inocentes.
A ESET relatou que o exploit foi listado para venda em um fórum clandestino em 6 de junho de 2024, por um preço não revelado. Após a divulgação responsável em 26 de junho, o Telegram abordou o problema na versão 10.14.5 lançada em 11 de julho.
“Os invasores podem distribuir payloads Android prejudiciais por meio de canais, grupos e chats do Telegram, fazendo com que eles pareçam arquivos multimídia”, afirmou o pesquisador de segurança Lukáš Štefanko em um relatório.
Acredita-se que o payload seja criado usando a API do Telegram, permitindo uploads programáticos de arquivos multimídia para chats e canais, permitindo assim que um invasor disfarce um arquivo APK malicioso como um vídeo de 30 segundos.
Os usuários que clicam no vídeo veem uma mensagem de aviso informando que o vídeo não pode ser reproduzido, solicitando que eles tentem um player externo. Se eles prosseguirem, serão solicitados a permitir a instalação do arquivo APK por meio do Telegram. O aplicativo em questão é chamado de “xHamster Premium Mod.”
“Por padrão, os arquivos de mídia recebidos via Telegram são configurados parabaixar automaticamente“, observou Štefanko. “Isso significa que os usuários com a opção habilitada baixarão automaticamente o payload malicioso ao abrir a conversa onde foi compartilhado.”
Embora essa opção de download automático possa ser desabilitada manualmente, o payload ainda pode ser baixado clicando no botão de download que acompanha o suposto vídeo. É importante observar que o ataque não afeta os clientes do Telegram para a web ou oaplicativo dedicado do Windows.
A identidade do perpetrador e a extensão dos ataques no mundo real permanecem obscuras. No entanto, o mesmo indivíduo anunciou um criptografador Android totalmente indetectável, capaz de contornar o Google Play Protect em janeiro de 2024.
O sucesso viral do Hamster Kombat gera um imitador malicioso
O aumento da atividade cibercriminosa coincidiu com a popularidade do jogo de criptomoeda baseado no Telegram Hamster Kombat, à medida que os atacantes cibernéticos buscam ganhos financeiros. A ESET descobriu lojas de aplicativos falsas promovendo o jogo, repositórios GitHub hospedando Lumma Stealer para Windows disfarçados de ferramentas de automação e um canal não oficial do Telegram distribuindo um trojan Android chamado Ratel.
Lançado em março de 2024, o Hamster Kombat ostenta mais de 250 milhões de jogadores, de acordo com seus desenvolvedores. O CEO do Telegram, Pavel Durov, elogiou o jogo como o “serviço digital de crescimento mais rápido do mundo” e anunciou que a equipe do Hamster cunhará seu token na TON, trazendo os benefícios do blockchain para um público massivo.
Ratel, distribuído por meio de um canal Telegram chamado “hamster_easy,” se disfarça como o jogo (“Hamster.apk“) e solicita que os usuários concedam a ele acesso à notificação e o definam como o aplicativo SMS padrão. Em seguida, ele contata um servidor remoto para obter um número de telefone.
Em seguida, o malware envia um SMS em russo para esse número, provavelmente controlado pelos operadores do malware, para receber mais instruções.
“Os agentes da ameaça podem controlar o dispositivo comprometido via SMS: eles podem instruí-lo a enviar mensagens de texto para números específicos ou até mesmo fazer chamadas”, afirmou a ESET. “O malware também pode verificar o saldo da conta Sberbank Rússia da vítima enviando uma mensagem com o texto баланс (saldo) para o número 900.”
A Ratel usa seu acesso à notificação para ocultar alertas de mais de 200 aplicativos com base em uma lista codificada, provavelmente para inscrever as vítimas em serviços premium sem seu conhecimento.
A ESET também encontrou vitrines de aplicativos falsos oferecendo falsamente o Hamster Kombat para download, o que leva a anúncios indesejados, e repositórios do GitHub que supostamente oferecem ferramentas de automação, mas implantam o Lumma Stealer.
“O sucesso do Hamster Kombat atraiu criminosos cibernéticos que estão atacando seus jogadores com malware”, disseram os pesquisadores de segurança Lukáš Štefanko e Peter Strýček. “Dada a popularidade do jogo, é altamente provável que mais atores maliciosos o explorem no futuro.”
O malware BadPack para Android escapa pelas rachaduras
Além do Telegram, arquivos APK maliciosos direcionados a dispositivos Android também surgiram na forma do BadPack. Esses são arquivos de pacote especialmente criados onde as informações de cabeçalho usadas no formato arquivo ZIP foram alteradas para impedir a análise estática.
O objetivo é evitar a extração e análise adequada do arquivo AndroidManifest.xml, que fornece informações cruciais sobre o aplicativo móvel. Isso permite que artefatos maliciosos sejam instalados sem detecção.
A Kaspersky documentou extensivamente essa técnica em abril, destacando um trojan Android chamado SoumniBot que tinha como alvo usuários na Coreia do Sul. Dados de telemetria da Unidade 42 da Palo Alto Networks registraram quase 9.200 amostras de BadPack na natureza entre junho de 2023 e junho de 2024, nenhuma das quais foi encontrada na Google Play Store.
“Esses cabeçalhos adulterados são um recurso essencial do BadPack, apresentando desafios significativos para as ferramentas de engenharia reversa do Android”, explicou o pesquisador da Unit 42 Lee Wei Yeong em um relatório publicado na semana passada. “Muitos trojans bancários baseados em Android, como BianLian, Cerberus e TeaBot, utilizam o BadPack.”
Fonte: TheHackerNews
