En junio de 2024, los investigadores de ESET descubrieron un exploit de día cero dirigido a la aplicación Telegram para Android. Este exploit, conocido como «EvilVideo», apareció a la venta en un foro clandestino, aunque su precio no fue especificado. Aprovechando una vulnerabilidad, permite a los atacantes enviar cargas maliciosas de Android a través de canales, grupos y chats de Telegram, haciéndolas pasar por archivos multimedia legítimos.
Lukáš Štefanko, investigador de ESET, explicó: «Encontramos el exploit anunciado en un foro clandestino, donde el vendedor presentó capturas de pantalla y un video de prueba del exploit en un canal público de Telegram. Identificamos el canal y obtuvimos el payload para probarlo por nosotros mismos». El análisis reveló que el exploit afecta a las versiones 10.14.4 y anteriores de Telegram, utilizando la API de Telegram para cargar archivos multimedia especialmente diseñados en los chats.
El exploit permite que la carga maliciosa aparezca como un video de 30 segundos. Por defecto, los archivos multimedia recibidos en Telegram se descargan automáticamente, lo que significa que los usuarios con esta opción habilitada descargarán la carga maliciosa al abrir la conversación. Si la descarga automática está desactivada, el payload puede descargarse manualmente. Al intentar reproducir el video, Telegram muestra un mensaje indicando que no puede reproducirlo y sugiere usar un reproductor externo. Al tocar el botón «Abrir», se solicita al usuario instalar una aplicación maliciosa disfrazada.
ESET descubrió la vulnerabilidad EvilVideo el 26 de junio de 2024 y la informó a Telegram siguiendo una política de divulgación coordinada. Aunque no hubo una respuesta inmediata, el 4 de julio Telegram se puso en contacto con ESET y confirmó que su equipo estaba investigando el problema. Telegram lanzó la versión 10.14.5 el 11 de julio, solucionando la vulnerabilidad que afectaba a todas las versiones de Telegram para Android hasta la 10.14.4.
