Kesempatan kali ini kita akan membahas mengenai EvilVideo serang Telegram Web, ancaman ini berhasil ditemukan oleh ESET beberapa waktu lalu.
Peneliti ESET menemukan eksploitasi zero-day yang menargetkan Telegram untuk Android, yang dijual dengan harga tidak ditentukan dalam forum bawah tanah.
Pelaku menggunakan eksploitasi tersebut untuk menyalahgunakan kerentanan yang ESET beri nama sebagai EvilVideo, karena ancaman ini hadir dalam bentuk video
Penyerang dapat membagikan Android berbahaya muatan melalui saluran Telegram, grup, dan obrolan, dan menjadikannya muncul sebagai file multimedia.
ESET menemukan sampel eksploitasi tersebut, memungkinkan mereka menganalisisnya lebih lanjut, dan melaporkannya ke Telegram pada tanggal 26 Juni 2024.
Pada tanggal 11 Juli, mereka merilis pembaruan yang memperbaiki kerentanan di Telegram versi 10.14.5 dan yang lebih baru.
Baca juga: Telegram Surga Phising |
Modus Operandi
Analisis ESET terhadap eksploitasi yang ditemukan menunjukkan bahwa eksploitasi tersebut berfungsi pada Telegram versi 10.14.4 dan yang lebih lama.
ESET berspekulasi bahwa payload spesifik kemungkinan besar dibuat menggunakan API Telegram, karena memungkinkan pengembang mengunggah file multimedia yang dibuat khusus ke obrolan atau saluran Telegram secara terprogram.
Eksploitasi tersebut tampaknya bergantung pada kemampuan pelaku ancaman untuk membuat payload yang menampilkan aplikasi Android sebagai pratinjau multimedia.
Dan bukan sebagai lampiran biner. Dimana setelah dibagikan dalam obrolan, muatan berbahaya muncul sebagai video berdurasi 30 detik.
Secara default, file media yang diterima melalui Telegram diatur untuk diunduh secara otomatis. Ini berarti bahwa pengguna dengan opsi yang diaktifkan akan secara otomatis mengunduh muatan berbahaya setelah mereka membuka percakapan yang membagikannya.
Opsi ini dapat dinonaktifkan secara manual, dalam hal ini payload masih dapat diunduh dengan mengetuk tombol unduh di sudut kiri atas video yang dibagikan dan terlihat.
Jika pengguna mencoba memutar “video”, Telegram menampilkan pesan bahwa ia tidak dapat memutarnya dan menyarankan untuk menggunakan pemutar eksternal.
Ini adalah peringatan Telegram asli yang ESET temukan di source code aplikasi Telegram untuk Android yang sah, itu tidak dibuat dan didorong oleh muatan berbahaya.
Namun, jika pengguna mengetuk tombol Buka di pesan yang ditampilkan, mereka akan diminta untuk memasang aplikasi berbahaya yang menyamar sebagai pemutar eksternal yang disebutkan di atas.
Sebelum instalasi, Telegram akan meminta pengguna untuk mengaktifkan instalasi aplikasi yang tidak dikenal.
Pada titik ini, aplikasi berbahaya yang dimaksud telah diunduh sebagai file video, tetapi dengan ekstensi .apk.
Menariknya, sifat kerentananlah yang membuat file yang dibagikan terlihat seperti video, aplikasi jahat sebenarnya tidak diubah menjadi file multimedia, yang menunjukkan bahwa proses pengunggahan kemungkinan besar dieksploitasi.
Sayangnya, ESET tidak dapat mereplikasi eksploitasi tersebut, hanya memeriksa dan memverifikasi sampel yang dibagikan oleh penjual.
Baca juga: Trojanisasi Telegram |
Telegram Web dan Desktop
Meskipun payload dibuat semata-mata untuk menargetkan Telegram untuk Android, kami masih mencoba menguji perilakunya pada klien Telegram lainnya.
ESET menguji klien Telegram Web dan klien Telegram Desktop untuk Windows – seperti yang diharapkan, eksploitasi tidak berfungsi pada keduanya.
Dalam kasus Telegram Web, setelah kami mencoba memutar “video”, klien menampilkan pesan kesalahan yang mengatakan untuk mencoba membuka video dengan aplikasi desktop. Mengunduh file terlampir secara manual mengungkapkan nama dan ekstensinya menjadi Teating.mp4.
Meskipun file tersebut sebenarnya adalah file biner yang dapat dieksekusi (APK) Android, Telegram yang memperlakukannya sebagai file MP4 menghentikan kerja eksploitasi: agar berhasil, lampirannya harus memiliki ekstensi .apk.
Hal serupa terjadi pada klien Telegram Desktop untuk Windows: file yang diunduh diberi nama Teating.apk.mp4, sehingga sekali lagi merupakan file biner APK dengan ekstensi .mp4.
Hal ini menunjukkan bahwa meskipun penyerang membuat executable Windows untuk digunakan sebagai pengganti APK Android, file tersebut akan tetap diperlakukan sebagai file multimedia dan eksploitasinya tidak akan berfungsi.
Aktor Ancaman
Meskipun kami tidak tahu banyak tentang pelaku ancaman, kami berhasil menemukan layanan mencurigakan lainnya yang mereka sediakan berdasarkan alamat Telegram yang dibagikan penjual di postingan forum mereka.
Selain eksploitasi, mereka telah menggunakan forum bawah tanah yang sama untuk mengiklankan cryptor-as-a-service Android yang mereka klaim sepenuhnya tidak terdeteksi (FUD) sejak 11 Januari 2024. Postingan forum dapat dilihat pada Gambar 8.
Baca juga: Bot Telegram Serang Pengguna E-Commerce |
Kerentanan EvilVideo
Setelah menemukan kerentanan EvilVideo pada tanggal 26 Juni 2024, kami mengikuti kebijakan pengungkapan terkoordinasi kami dan melaporkannya ke Telegram, tetapi tidak menerima tanggapan pada saat itu.
ESET melaporkan kerentanan tersebut lagi pada tanggal 4 Juli, dan pada saat itu, Telegram menghubungi kami pada hari yang sama untuk mengonfirmasi bahwa timnya sedang menyelidiki EvilVideo. Mereka memperbaiki masalahnya, mengirimkan versi 10.14.5 pada 11 Juli, dan memberi tahu kami melalui email.
Kerentanan ini memengaruhi semua versi Telegram untuk Android hingga 10.14.4, tetapi telah ditambal pada versi 10.14.5.
Seperti yang kami verifikasi, pratinjau multimedia obrolan sekarang dengan benar menampilkan bahwa file yang dibagikan adalah aplikasi (Gambar 9) dan bukan video.
Kesimpulan
Kami menemukan eksploitasi Telegram zero-day untuk Android untuk dijual di forum bawah tanah. Kerentanan yang dieksploitasi memungkinkan pengiriman muatan berbahaya yang terlihat seperti file multimedia melalui obrolan Telegram.
Jika pengguna mencoba memutar video yang terlihat, mereka akan menerima permintaan untuk memasang aplikasi eksternal, yang sebenarnya memasang muatan berbahaya. Untungnya, kerentanan tersebut telah diperbaiki pada 11 Juli 2024, setelah kami melaporkannya ke Telegram.
Sumber berita: