惡意勒索軟體 Ransomware
Telegram 應用程式漏洞被利用來傳播隱藏在影片中的惡意軟體
2024-07-31
Telegram 的 Android 行動應用程式中存在一個名為 EvilVideo 的零日漏洞,使攻擊者可以將惡意檔案偽裝成看似無害的影片。
↪ EvilVideo 零日漏洞是指一種未知且尚未被修補的漏洞攻擊者利用此漏洞,將惡意程式碼隱藏在影片檔案中,透過 Telegram 等通訊軟體散播,當使用者開啟受感染的影片時,惡意程式碼就會在使用者不知情的情況下執行,進而控制裝置或竊取個人資料。
根據研究人員表示,攻擊者可透過 Telegram 頻道、群組和聊天共享惡意有效負載,並使他們顯示為多媒體檔案,據信有效負載使用 Telegram 應用程式介面 (API) 編寫的,該介面允許以程式設計方式將多媒體檔案上傳到聊天和頻道,攻擊者就可以將惡意APK檔案偽裝成30秒的影片,點擊影片的用戶會顯示實際的警告訊息,指出該影片無法撥放,並敦促他們嘗試使用外部播放器播放該影片,若他們繼續執行該步驟,隨後會被要求允許透過 Telegram 安裝APK 檔案。
這項進展正值網路犯罪分子利用基於 Telegram 的加密貨幣遊戲 Hamster Kombat獲取金錢利益之際,推廣該應用程式的虛假應用程式商店,以遊戲自動化工具為幌子託管Windows版 Lumma Stealer 的 GitHub儲存庫,以及非官方 Telegram 頻道 ,用於傳播名為 Ratel的Android 木馬,根據遊戲開發商稱這款流行遊戲於2024年3月推出,預計擁有超2.5億玩家
Ratel 透過名為 「hamster_easy」的 Telegram 頻道提供,旨在模仿遊戲並提示使用者授予期通知存取權並將其自身設定為預設簡訊應用程式,隨後 他啟動與遠端伺服器得聯繫以獲取電話號碼作為回應,下一步 惡意軟體會向該電話號碼發送俄語短信,以通過短信接收其他指令,研究人員表示,網路攻擊者隨後能夠通過短信控制受感染的設備,操作員消息可以包含要發送到指定號碼的文本,甚至指示設備撥打該號碼。
該惡意軟體還能夠透過向號碼900發送一條帶有文字 баланс(翻譯:餘額)的訊息來檢查受害者當前俄羅斯儲蓄銀行帳戶餘額,Ratel 濫用其通知存取權限並根據嵌入其中的硬編碼清單隱藏來自不少於 200 個應用程式的通知,懷疑這樣做是為了讓受害者訂閱各種高級服務並防止他們收到警報。
有間斯洛伐克網路安全公司表示,它還發現了虛假應用程式店面,聲稱提供Hamster Kombat 供下載,但實際上將用戶引導至不需要的廣告,並且GitHub 儲存庫提供了部署Lumma Stealer 的Hamster Kombat 自動化工具。
除了 Telegram 之外,針對 Android 裝置的惡意 APK 檔案也採用了 BadPack 的形式,它是指特製的套件文件,其中 ZIP 存檔格式中使用的標頭資訊已被更改,以試圖阻礙靜態分析,這樣做的目的是防止 AndroidManifest.xml 檔案(一個提供有關行動應用程式的基本資訊的關鍵檔案)被提取和正確解析,從而允許安裝惡意工件而不會引發任何危險信號,卡巴斯基在今年 4 月初廣泛記錄了這種技術,該技術與一個名為SoumniBot的 Android 木馬有關,該木馬針對的是韓國用戶。 Palo Alto Networks Unit 42 從 2023 年 6 月到 2024 年 6 月收集的遙測資料已偵測到近 9,200 個 BadPack 樣本,但在 Google Play 商店中未發現任何樣本。
Telegram 在與《駭客新聞》分享的聲明中表示,該漏洞不是平台中的漏洞,它於 2024 年 7 月 9 日部署了伺服器端修復程序,以保護用戶的安全,該公司表示:「它會要求用戶打開視頻,調整Android 安全設置,然後手動安裝看起來可疑的『媒體應用程式』。」該公司強調,只有當用戶繞過安全漏洞安裝該應用程式時,該漏洞才會構成安全風險,Android 用戶可以透過 Google Play Protect 自動防範木馬,該功能在所有具有 Google Play 服務的裝置上預設為啟用, 而Google Play Protect 可以警告用戶或阻止已知表現出惡意行為的應用程序,即使這些應用程式來自 Play 之外的來源,也能夠減少惡意攻擊的發生。
參考資料: https://thehackernews.com/2024/07/telegram-app-flaw-exploited-to-spread.html