Telegram sotto attacco: scoperta la vulnerabilità che diffonde malware attraverso video
È stato scoperto un nuovo virus in Telegram, denominato EvilLoader. Si camuffa da file video innocui e rappresenta un rischio significativo per la sicurezza degli utenti Android. Lo ha segnalato la risorsa Medium, scrive UNN.
Questa vulnerabilità sfrutta il modo in cui Telegram gestisce i file ricevuti tramite la sua API. In particolare, gli aggressori possono inviare file con estensione .html mascherati da video. Poiché i file HTML possono contenere ed eseguire codice JavaScript, quando un utente tenta di aprire il presunto video, il codice dannoso viene eseguito all’interno del browser predefinito del dispositivo. Questo potrebbe consentire il download ed esecuzione di payload malevoli.
I criminali informatici usano EvilLoader per inviare file APK dannosi che sembrano file video. Quando un utente apre il video falso, Telegram lo elabora per errore come un file di installazione, consentendo al virus di installarsi inosservato.
In uno scenario ipotizzato da 0x6rss, un utente ignaro tenta di aprire un video che non si avvia, venendo invece reindirizzato a una pagina web dannosa. L’attacco iniziale può esporre l’indirizzo IP dell’utente e successivamente imitare siti legittimi, come il Google Play Store, inducendo l’utente a installare un’app fasulla, ad esempio una versione malevola di Google Play Protect.
Il virus consente l’installazione di vari tipi di malware, tra cui:
- Spyware: consente agli aggressori di monitorare le tue chiamate, i tuoi messaggi e le tue attività;
- Ransomware: crittografa i file e chiede un riscatto per la loro decifratura;
- Trojan bancari: rubano informazioni finanziarie riservate.
Affinché l’attacco abbia successo, gli utenti devono compiere diverse azioni:
- Aprire il file mascherato da video.
- Modificare le impostazioni di sicurezza di Android per consentire l’installazione di app da fonti sconosciute.
- Accettare i permessi richiesti dall’app dannosa, concedendole il pieno controllo del dispositivo.
Google protegge gli utenti Android con Play Protect, che avvisa o blocca le app dannose note provenienti da fonti non ufficiali. Tuttavia, un utente disattento potrebbe comunque cadere nella trappola.
Come proteggersi
Telegram non ha ancora rilasciato una patch, ma puoi adottare delle misure per proteggerti da EvilLoader e attacchi simili:
- Aggiornare immediatamente Telegram, controllare regolarmente la presenza di aggiornamenti;
- Disattivare i download automatici;
- Non aprire file sconosciuti;
- Limitare la comunicazione solo ai contatti fidati;
- Prendere in considerazione app di messaggistica alternative.
La risposta di Telegram
Telegram ha confermato di essere a conoscenza della vulnerabilità e ha implementato una correzione lato server per mitigare il rischio. Un portavoce dell’azienda ha dichiarato a Cybernews:
“Questo exploit non è una vulnerabilità di Telegram. Avrebbe richiesto agli utenti di aprire il video, modificare le impostazioni di sicurezza di Android e quindi installare manualmente un'”app multimediale” dall’aspetto sospetto. Abbiamo implementato una correzione lato server per proteggere gli utenti su tutte le versioni di Telegram.”
Nonostante la patch rilasciata da Telegram, la scoperta di EvilLoader evidenzia la necessità di un maggiore controllo nella gestione dei file ricevuti tramite l’app, oltre all’importanza di una costante attenzione da parte degli utenti per evitare minacce informatiche.