ESET araştırmacıları, Android için Telegram mesajlaşma uygulamasında kritik bir sıfır gün açığı keşfetti. Bu güvenlik açığı, milyonlarca kullanıcıyı kötü amaçlı saldırılara maruz bırakabilir.
“EvilVideo” adı verilen bu istismar, saldırganların zararlı Android yüklerini, Telegram kanalları, grupları ve özel sohbetler aracılığıyla dağıtılabilecek zararsız video dosyaları gibi gizlemesine olanak tanıyordu.
Güvenlik açığı ilk olarak, ESET araştırmacılarının 6 Haziran 2024’te yeraltı bir forumda bu açığın reklamını bulmasıyla tespit edildi. “Ancryno” takma adını kullanan satıcı, sıfır günlük açığı açıklanmayan bir fiyata sunarak Telegram’ın 10.14.4 ve daha eski sürümlerinde çalıştığını iddia etti.
Bu bilgiler, ESET araştırmacılarının kanalı takip etmesini, yükü elde etmesini ve ayrıntılı bir analiz yapmasını sağladı.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo
ESET’in araştırması, istismarın Telegram 10.14.4 ve daha eski sürümlerini etkilediğini ortaya çıkardı. Muhtemelen Telegram API’si kullanılarak oluşturulan yük, 30 saniyelik bir video olarak gizleniyor.
Telegram Zero-Day Açığı Nasıl İstismar Ediliyor?
Bir kullanıcı “videoyu” oynatmaya çalışırsa, Telegram harici bir oynatıcının kullanımını öneren bir hata mesajı görüntüler. Bu mesajdaki Aç düğmesine dokunulduğunda harici bir oynatıcı olarak gizlenmiş kötü amaçlı bir uygulamanın yüklenmesine neden olur.
Telegram daha sonra kullanıcıdan bilinmeyen uygulamaların kurulumunu etkinleştirmesini ister ve bu da kötü amaçlı uygulamanın kurulumuna yol açar. Kötü amaçlı uygulama, .apk uzantısıyla görünür bir video dosyası olarak indirilir ve bu güvenlik açığından yararlanarak multimedya dosyası olarak görünür.
Bir sohbette paylaşıldığında, kötü amaçlı yük, Telegram’ın medya dosyalarını otomatik olarak indirme varsayılan ayarından yararlanarak bir multimedya dosyası olarak görünür. Bu ayarı etkinleştiren kullanıcılar, konuşmayı açtıklarında kötü amaçlı yükü otomatik olarak indirir.
ESET araştırmacıları, güvenlik açığını derhal 26 Haziran 2024’te ve ardından 4 Temmuz’da Telegram’a bildirdi. Telegram sorunu kabul etti ve 11 Temmuz 2024’te 10.14.5 sürümünde bir yama yayınlayarak güvenlik açığını etkin bir şekilde kapattı.
Bu açığın gerçek dünyadaki saldırılarda kullanılıp kullanılmadığı henüz netlik kazanmasa da, Telegram’ın Android uygulamasının bir milyardan fazla indirilmesiyle popülaritesi göz önüne alındığında, yaygın bir hasara yol açma potansiyeli önemli.
EvilVideo’nun arkasındaki tehdit aktörü ayrıca, tamamen tespit edilemez (FUD) olduğunu iddia ederek bir Android kriptolayıcı hizmeti de sunuyor. Bu hizmet, 11 Ocak 2024’ten beri aynı yeraltı forumunda reklamı yapılıyor.
Telegram kullanıcılarının uygulamalarını en son sürüme güncellemeleri ve bilinmeyen kaynaklardan gelen medya dosyalarıyla etkileşim kurarken dikkatli olmaları şiddetle tavsiye edilir. Bu olay, dijital ortamdaki sürekli risklerin ve siber güvenlik araştırmalarının kullanıcıları ortaya çıkan tehditlerden korumadaki kritik rolünün bir hatırlatıcısı olarak hizmet eder.
IoC’ler
Tehlikeye Atma Göstergeleri’nin (IoC) kapsamlı bir listesini ve örneklerini GitHub havuzumuzda bulabilirsiniz.
Dosyalar
| SHA-1 | Dosya adı | Tespit etme | Tanım |
| F159886DCF9021F41EAA 2B0641A758C4F0C4033D |
Çay.apk | Android/Casus.SpyMax.T | EvilVideo yükü. |
Ağ
| IP | İhtisas | Barındırma sağlayıcısı | İlk görüş | Detaylar |
| 183.83.172[.]232 | sonsuzlukhilelericharan. ddns[.]açık |
Yönetici Kiriş Kablo Sistemi | 2024‑07‑16 | EvilVideo yükünün C&C sunucusu. |
MITRE ATT&CK teknik
Bu masa MITRE ATT&CK mobil tekniklerinin 15. versiyonu kullanılarak oluşturulmuştur.
| Taktik | İD | İsim | Tanım |
| İlk Erişim | T1664 | İlk Erişim İçin Kullanım | EvilVideo güvenlik açığı, Android kötü amaçlı yazılımları tarafından ilk cihaz erişimini elde etmek için kötüye kullanılabilir. |
| Uygulamak | T1658 | İstemci Yürütmesi için Sömürü | EvilVideo güvenlik açığı, kurbanı multimedya dosyasını taklit eden kötü amaçlı bir uygulama yüklemeye kandırıyor. |
Günümüzün büyük bir tehdidi olan yavaş DDoS saldırılarıyla mücadele hakkında bilgi edinmek için ücretsiz web seminerimize katılın.