Uma falha de segurança de dia zero no aplicativo móvel do Telegram para Android, chamado EvilVideo, possibilitou que invasores obtivessem arquivos maliciosos disfarçados de vídeos aparentemente inofensivos.
O exploit apareceu à venda por um preço desconhecido em um fórum underground em 6 de junho de 2024, disse a ESET. Após divulgação responsável em 26 de junho, o problema foi resolvido pelo Telegram na versão 10.14.5 lançada em 11 de julho.
“Os invasores podem compartilhar cargas maliciosas do Android por meio de canais, grupos e bate-papo do Telegram e fazê-los aparecer como arquivos multimídia”, disse o pesquisador de segurança Lukáš Štefanko em um relatório.
Acredita-se que o payload é inventado usando a interface de programação de aplicativos (API) do Telegram, que permite uploads programáticos de arquivos multimídia para chats e canais. Ao fazer isso, ele permite que um invasor camufle um arquivo APK malicioso como um vídeo de 30 segundos.
Usuários que clicam no vídeo recebem uma mensagem de aviso actual informando que o vídeo não pode ser reproduzido e os incentiva a tentar reproduzi-lo usando um participant externo. Caso prossigam com a etapa, eles são posteriormente solicitados a permitir a instalação do arquivo APK pelo Telegram. O aplicativo em questão é chamado de “xHamster Premium Mod”.
“Por padrão, os arquivos de mídia recebidos by way of Telegram são configurados para obtain automático”, disse Štefanko. “Isso significa que os usuários com a opção habilitada baixarão automaticamente o payload malicioso assim que abrirem a conversa onde ele foi compartilhado.”
Embora essa opção possa ser desabilitada manualmente, o payload ainda pode ser baixado tocando no botão de obtain que acompanha o suposto vídeo. Vale a pena notar que o ataque não funciona em clientes do Telegram para an internet ou no aplicativo dedicado do Home windows.
Atualmente não está claro quem está por trás do exploit e quão amplamente ele foi usado em ataques no mundo actual. O mesmo ator, no entanto, anunciou em janeiro de 2024 um Android crypter (também conhecido como cryptor) totalmente indetectável que pode supostamente ignorar o Google Play Defend.
O sucesso viral do Hamster Kombat gera uma imitação maliciosa
O desenvolvimento ocorre no momento em que criminosos cibernéticos estão capitalizando o jogo de criptomoeda Hamster Kombat baseado no Telegram para obter ganhos monetários, com a ESET descobrindo lojas de aplicativos falsas promovendo o aplicativo, repositórios GitHub hospedando Lumma Stealer para Home windows sob o disfarce de ferramentas de automação para o jogo e um canal não oficial do Telegram que é usado para distribuir um trojan para Android chamado Ratel.
O jogo widespread, que foi lançado em março de 2024, tem uma estimativa de mais de 250 milhões de jogadores, de acordo com o desenvolvedor do jogo. O CEO do Telegram, Pavel Durov, chamou o Hamster Kombat de “o serviço digital de crescimento mais rápido do mundo” e que “a equipe do Hamster cunhará seu token na TON, introduzindo os benefícios do blockchain para centenas de milhões de pessoas”.
Ratel, oferecido por meio de um canal do Telegram chamado “hamster_easy”, é projetado para personificar o jogo (“Hamster.apk”) e solicita aos usuários que concedam a ele acesso de notificação e se definam como o aplicativo de SMS padrão. Posteriormente, ele inicia o contato com um servidor remoto para obter um número de telefone como resposta.
Na próxima etapa, o malware envia uma mensagem SMS em russo para esse número de telefone, provavelmente pertencente aos operadores do malware, para receber instruções adicionais por SMS.
“Os agentes da ameaça então se tornam capazes de controlar o dispositivo comprometido by way of SMS: a mensagem do operador pode conter um texto a ser enviado para um número específico, ou até mesmo instruir o dispositivo a ligar para o número”, disse a ESET. “O malware também é capaz de verificar o saldo atual da conta bancária da vítima para o Sberbank Rússia enviando uma mensagem com o texto баланс (tradução: saldo) para o número 900.”
A Ratel abusa de suas permissões de acesso a notificações para ocultar notificações de nada menos que 200 aplicativos com base em uma lista codificada embutida nela. Suspeita-se que isso esteja sendo feito em uma tentativa de inscrever as vítimas em vários serviços premium e evitar que sejam alertadas.
A empresa eslovaca de segurança cibernética disse que também identificou lojas de aplicativos falsas que alegam oferecer o Hamster Kombat para obtain, mas na verdade direcionam os usuários para anúncios indesejados e repositórios do GitHub que oferecem ferramentas de automação do Hamster Kombat que implantam o Lumma Stealer.
“O sucesso do Hamster Kombat também atraiu cibercriminosos, que já começaram a implantar malware visando os jogadores do jogo”, disseram Štefanko e Peter Strýček. “A popularidade do Hamster Kombat o torna propício para abusos, o que significa que é altamente provável que o jogo atraia mais atores maliciosos no futuro.”
Malware BadPack para Android passa despercebido
Além do Telegram, arquivos APK maliciosos direcionados a dispositivos Android também assumiram a forma de BadPack, que se refere a arquivos de pacote especialmente criados nos quais as informações de cabeçalho usadas no formato de arquivo ZIP foram alteradas na tentativa de obstruir a análise estática.
Ao fazer isso, a ideia é evitar que o arquivo AndroidManifest.xml — um arquivo essential que fornece informações essenciais sobre o aplicativo móvel — seja extraído e analisado corretamente, permitindo assim que artefatos maliciosos sejam instalados sem levantar nenhum sinal de alerta.
Essa técnica foi amplamente documentada pela Kaspersky no início de abril em conexão com um trojan Android chamado SoumniBot que tem como alvo usuários na Coreia do Sul. Dados de telemetria coletados pela Palo Alto Networks Unit 42 de junho de 2023 a junho de 2024 detectaram quase 9.200 amostras de BadPack na natureza, embora nenhuma delas tenha sido encontrada na Google Play Retailer.
“Esses cabeçalhos adulterados são um recurso essencial do BadPack, e tais amostras geralmente representam um desafio para as ferramentas de engenharia reversa do Android”, disse o pesquisador da Unit 42 Lee Wei Yeong em um relatório publicado na semana passada. “Muitos trojans bancários baseados em Android, como BianLian, Cerberus e TeaBot, usam o BadPack.”
