Lỗ hổng ứng dụng Telegram bị khai thác để phát tán phần mềm độc hại ẩn trong video

Một lỗ hổng bảo mật zero-day trong ứng dụng di động Telegram dành cho Android có tên EvilVideo đã giúp kẻ tấn công có thể ngụy trang các tệp độc hại thành video trông vô hại.

Lỗ hổng này đã được rao bán với mức giá không xác định trên một diễn đàn ngầm vào ngày 6 tháng 6 năm 2024. Sau khi tiết lộ một cách có trách nhiệm vào ngày 26 tháng 6, vấn đề này đã được Telegram giải quyết trong phiên bản 10.14.5 phát hành vào ngày 11 tháng 7.

"Kẻ tấn công có thể chia sẻ các tệp tin Android độc hại qua các kênh, nhóm và trò chuyện trên Telegram và khiến chúng xuất hiện dưới dạng tệp đa phương tiện", nhà nghiên cứu bảo mật Lukáš Štefanko cho biết trong một báo cáo.

Người ta tin rằng tệp tin này được tạo ra bằng giao diện lập trình ứng dụng (API) của Telegram, cho phép tải lên các tệp đa phương tiện theo chương trình vào các cuộc trò chuyện và kênh. Khi làm như vậy, nó cho phép kẻ tấn công ngụy trang tệp APK độc hại thành video dài 30 giây.

Người dùng nhấp vào video sẽ thấy một thông báo cảnh báo thực tế nêu rõ không thể phát video và thúc giục họ thử phát bằng trình phát bên ngoài. Nếu họ tiến hành bước này, họ sẽ được yêu cầu cho phép cài đặt tệp APK thông qua Telegram. Ứng dụng đang đề cập có tên là "xHamster Premium Mod".

"Theo mặc định, các tệp phương tiện được nhận qua Telegram được thiết lập để tự động tải xuống", Štefanko cho biết. "Điều này có nghĩa là người dùng bật tùy chọn này sẽ tự động tải xuống phần tải trọng độc hại khi họ mở cuộc trò chuyện nơi nó được chia sẻ".

Mặc dù tùy chọn này có thể bị vô hiệu hóa theo cách thủ công, nhưng phần tải trọng vẫn có thể được tải xuống bằng cách chạm vào nút tải xuống đi kèm với video được cho là. Cần lưu ý rằng cuộc tấn công không hoạt động trên các ứng dụng khách Telegram dành cho web hoặc ứng dụng Windows chuyên dụng.

Hiện tại, vẫn chưa rõ ai là người đứng sau vụ khai thác này và nó được sử dụng rộng rãi như thế nào trong các cuộc tấn công trong thế giới thực. Tuy nhiên, cùng một tác nhân đã quảng cáo vào tháng 1 năm 2024 một trình mã hóa Android hoàn toàn không thể phát hiện (hay còn gọi là cryptor) được cho là có thể vượt qua Google Play Protect.

Sự phát triển diễn ra khi tội phạm mạng đang tận dụng trò chơi tiền điện tử Hamster Kombat dựa trên Telegram để kiếm lợi nhuận, phát hiện ra các cửa hàng ứng dụng giả mạo quảng cáo ứng dụng, kho lưu trữ GitHub lưu trữ Lumma Stealer cho Windows dưới vỏ bọc là các công cụ tự động hóa cho trò chơi và một kênh Telegram không chính thức được sử dụng để phân phối trojan Android có tên là Ratel.

Theo nhà phát triển trò chơi, trò chơi phổ biến này, ra mắt vào tháng 3 năm 2024, ước tính có hơn 250 triệu người chơi. Giám đốc điều hành Telegram Pavel Durov đã gọi Hamster Kombat là "dịch vụ kỹ thuật số phát triển nhanh nhất thế giới" và "nhóm Hamster sẽ đúc mã thông báo của mình trên TON, giới thiệu những lợi ích của blockchain đến hàng trăm triệu người".

Ratel, được cung cấp thông qua kênh Telegram có tên "hamster_easy", được thiết kế để mạo danh trò chơi ("Hamster.apk") và nhắc người dùng cấp quyền truy cập thông báo và tự đặt mình làm ứng dụng SMS mặc định. Sau đó, nó bắt đầu liên lạc với máy chủ từ xa để lấy số điện thoại làm phản hồi.

Ở bước tiếp theo, phần mềm độc hại gửi tin nhắn SMS bằng tiếng Nga đến số điện thoại đó, có khả năng thuộc về nhà điều hành phần mềm độc hại, để nhận thêm hướng dẫn qua SMS.

"Sau đó, các tác nhân đe dọa có khả năng kiểm soát thiết bị bị xâm phạm qua SMS: Tin nhắn của nhà điều hành có thể chứa văn bản để gửi đến một số cụ thể hoặc thậm chí hướng dẫn thiết bị gọi đến số đó". Phần mềm độc hại cũng có thể kiểm tra số dư tài khoản ngân hàng hiện tại của nạn nhân tại Sberbank Russia bằng cách gửi tin nhắn có nội dung баланс (dịch: số dư) đến số 900".

Ratel lạm dụng quyền truy cập thông báo của mình để ẩn thông báo từ không dưới 200 ứng dụng dựa trên danh sách được mã hóa cứng được nhúng trong đó. Người ta nghi ngờ rằng việc này được thực hiện nhằm mục đích đăng ký cho nạn nhân nhiều dịch vụ cao cấp khác nhau và ngăn họ nhận được cảnh báo.

Các chuyên gia cũng phát hiện ra các cửa hàng ứng dụng giả mạo tuyên bố cung cấp Hamster Kombat để tải xuống, nhưng thực tế lại hướng người dùng đến các quảng cáo không mong muốn và các kho lưu trữ GitHub cung cấp các công cụ tự động hóa Hamster Kombat triển khai Lumma Stealer thay thế.

"Sự thành công của Hamster Kombat cũng đã khiến tội phạm mạng lộ diện, những kẻ đã bắt đầu triển khai phần mềm độc hại nhắm vào người chơi trò chơi", Štefanko và Peter Strýček cho biết. "Sự phổ biến của Hamster Kombat khiến trò chơi này dễ bị lạm dụng, điều đó có nghĩa là rất có khả năng trò chơi sẽ thu hút nhiều kẻ xấu hơn trong tương lai".

Ngoài Telegram, các tệp APK độc hại nhắm vào các thiết bị Android cũng có dạng BadPack, ám chỉ các tệp gói được tạo đặc biệt trong đó thông tin tiêu đề được sử dụng trong định dạng tệp ZIP đã bị thay đổi nhằm mục đích cản trở phân tích tĩnh.

Khi thực hiện như vậy, ý tưởng là ngăn chặn tệp AndroidManifest.xml – một tệp quan trọng cung cấp thông tin cần thiết về ứng dụng di động – khỏi bị trích xuất và phân tích cú pháp đúng cách, do đó cho phép cài đặt các hiện vật độc hại mà không gây ra bất kỳ cảnh báo nào.

Kỹ thuật này đã được Kaspersky ghi chép chi tiết vào đầu tháng 4 này liên quan đến một trojan Android có tên là SoumniBot nhắm mục tiêu vào người dùng ở Hàn Quốc. Dữ liệu đo từ xa do Đơn vị 42 của Palo Alto Networks thu thập từ tháng 6 năm 2023 đến tháng 6 năm 2024 đã phát hiện gần 9.200 mẫu BadPack trong tự nhiên, mặc dù không có mẫu nào trong số chúng được tìm thấy trên Cửa hàng Google Play.

"Những tiêu đề bị giả mạo này là một tính năng chính của BadPack và những mẫu như vậy thường gây ra thách thức cho các công cụ kỹ thuật đảo ngược của Android", nhà nghiên cứu Lee Wei Yeong của Đơn vị 42 cho biết trong một báo cáo được công bố vào tuần trước. "Nhiều Trojan ngân hàng dựa trên Android như BianLian, Cerberus và TeaBot sử dụng BadPack".

Telegram cho biết lỗ hổng này không phải là lỗ hổng trong nền tảng và họ đã triển khai bản sửa lỗi phía máy chủ vào ngày 9 tháng 7 năm 2024 để bảo vệ người dùng.

"Người dùng sẽ phải mở video, điều chỉnh cài đặt an toàn của Android rồi cài đặt thủ công một 'ứng dụng phương tiện' có vẻ đáng ngờ", công ty cho biết, đồng thời nhấn mạnh rằng lỗ hổng này chỉ gây ra rủi ro bảo mật khi người dùng cài đặt ứng dụng sau khi bỏ qua tính năng bảo mật.

Google cho biết người dùng Android sẽ tự động được bảo vệ khỏi trojan thông qua Google Play Protect, được bật theo mặc định trên tất cả các thiết bị có Dịch vụ Google Play. "Google Play Protect có thể cảnh báo người dùng hoặc chặn các ứng dụng được biết là có hành vi độc hại, ngay cả khi các ứng dụng đó đến từ các nguồn bên ngoài Play", công ty cho biết.

Hương – Theo TheHackerNews