SecAtor

Исследователь 0x6rss раскрыл опубликовал подробности в отношении EvilLoader (вместе с PoC) - уязвимости в Telegram для Android, которая может быть использована для запуска вредоносного кода на устройстве пользователя.

Эксплойт позволяет злоумышленникам маскировать вредоносные APK-файлы под видеофайлы, что потенциально приводит к несанкционированной установке вредоносного ПО на устройства пользователей.

EvilLoader манипулирует обработкой видеофайлов в Telegram, позволяя вредоносному приложению автоматически загружаться и выполняться под видом медиаконтента.

Когда пользователь пытается воспроизвести одно из этих специально созданных «видео», Telegram предлагает ему открыть файл во внешнем приложении.

Если пользователь выбирает Cancel, то это будет выглядеть так, как будто видео не может быть воспроизведено правильно. В противном случае замаскированный APK устанавливается на устройство.

Ключевая часть атаки заключается в создании HTML-файла, который Telegram ошибочно интерпретирует как действительный видеофайл.

Уязвимость аналогична CVE-2024-7014, также нацеленной на Telegram для Android и получившей название EvilVideo, которая была раскрыта в июле 2024 года.

EvilVideo, как EvilLoader, позволяла злоумышленникам манипулировать видеофайлами для доставки вредоносных APK.

Разработчиков мессенджеры уведомили об уязвимости 4 марта 2025 года.

Тем не менее, ошибка остается неисправленной и продолжает работать в последней версии Telegram для Android 11.7.4.

Более того, полезная нагрузка доступна для продажи в киберподполье с 15 января 2025 года, что делает ее доступной для хакеров по всему миру. Теперь его называют EvilLoader вместо его первоначального названия EvilVideo.

0x6rss

CVE-2024-7014 RETURN: UPDATED EVILLOADER

www.tgoop.com/true_secator/6819

6.7K viewsMar 7 at 16:30

Исследователь 0x6rss раскрыл опубликовал подробности в отношении EvilLoader (вместе с PoC) - уязвимости в Telegram для Android, которая может быть использована для запуска вредоносного кода на устройстве пользователя.

Эксплойт позволяет злоумышленникам маскировать вредоносные APK-файлы под видеофайлы, что потенциально приводит к несанкционированной установке вредоносного ПО на устройства пользователей.

EvilLoader манипулирует обработкой видеофайлов в Telegram, позволяя вредоносному приложению автоматически загружаться и выполняться под видом медиаконтента.

Когда пользователь пытается воспроизвести одно из этих специально созданных «видео», Telegram предлагает ему открыть файл во внешнем приложении.

Если пользователь выбирает Cancel, то это будет выглядеть так, как будто видео не может быть воспроизведено правильно. В противном случае замаскированный APK устанавливается на устройство.

Ключевая часть атаки заключается в создании HTML-файла, который Telegram ошибочно интерпретирует как действительный видеофайл.

Уязвимость аналогична CVE-2024-7014, также нацеленной на Telegram для Android и получившей название EvilVideo, которая была раскрыта в июле 2024 года.

EvilVideo, как EvilLoader, позволяла злоумышленникам манипулировать видеофайлами для доставки вредоносных APK.

Разработчиков мессенджеры уведомили об уязвимости 4 марта 2025 года.

Тем не менее, ошибка остается неисправленной и продолжает работать в последней версии Telegram для Android 11.7.4.

Более того, полезная нагрузка доступна для продажи в киберподполье с 15 января 2025 года, что делает ее доступной для хакеров по всему миру. Теперь его называют EvilLoader вместо его первоначального названия EvilVideo.

BY SecAtor