ESET araştırmacıları, Haziran 2024 tarihli bir yeraltı forum gönderisinde belirtilmemiş bir
fiyatla satışa sunulan ve Telegram’ın Android uygulamasını hedef alan bir sıfır gün açığı
keşfetti. ESET'in "EvilVideo" adını verdiği bir güvenlik açığını kötüye kullanan saldırganlar
Telegram kanalları, grupları ve sohbetleri aracılığıyla kötü amaçlı Android yüklerini
paylaşabiliyor ve bunların multimedya dosyaları gibi görünmesini sağlayabiliyordu. Açık,
yalnızca 10.14.4 ve daha eski Android Telegram sürümlerinde çalışıyor.
Telegram açığını keşfeden ESET araştırmacısı Lukáš Štefanko, "Açıklığın bir yeraltı forumunda
satılık olarak ilan edildiğini tespit ettik. Gönderide satıcı, ekran görüntülerini ve herkese açık
bir Telegram kanalında istismarı test ettiği bir videoyu gösteriyor. Söz konusu kanalı tespit
etmeyi başardık. Açık hala mevcuttu , bu da yükü ele geçirmemizi ve kendimizin test
etmesini sağladı" dedi.
ESET Research tarafından yapılan analiz, istismarın Telegram'ın 10.14.4 ve daha eski
sürümlerinde çalıştığını ortaya koydu. Bunun nedeni, geliştiricilerin özel olarak hazırlanmış
multimedya dosyalarını Telegram sohbetlerine veya kanallarına programlı olarak
yüklemelerine izin verdiği için belirli bir yükün büyük olasılıkla Telegram API kullanılarak
hazırlanmış olması olabilir. İstismar, tehdit aktörünün bir Android uygulamasını ikili bir
eklenti olarak değil multimedya ön izlemesi olarak görüntüleyen bir yük oluşturabilmesine
dayanıyor gibi görünüyor. Sohbette paylaşıldıktan sonra kötü amaçlı yük 30 saniyelik bir
video olarak beliriyor.
Varsayılan olarak Telegram üzerinden alınan medya dosyaları otomatik olarak indirilecek
şekilde ayarlanmış. Bu, bu seçeneğin etkin olduğu kullanıcıların, paylaşıldığı sohbeti
açtıklarında kötü amaçlı yükü otomatik olarak indirecekleri anlamına geliyor. Varsayılan
otomatik indirme seçeneği manuel olarak devre dışı bırakılabilir. Bu durumda, paylaşılan
videonun indirme düğmesine dokunarak yük yine de indirilebilir.
Kullanıcı "videoyu" oynatmaya çalışırsa Telegram videoyu oynatamadığını belirten bir mesaj
görüntüler ve harici bir oynatıcı kullanılmasını önerir. Bununla birlikte kullanıcı görüntülenen
mesajdaki “Aç” düğmesine dokunursa yukarıda belirtilen harici uygulama olarak gizlenmiş
kötü amaçlı bir uygulama yüklemesi istenecektir.
ESET, 26 Haziran 2024'te EvilVideo güvenlik açığını keşfettikten sonra, koordineli ifşa
politikasını izledi ve bunu Telegram'a bildirmesine karşın o sırada herhangi bir yanıt almadı.
Güvenlik açığını 4 Temmuz'da tekrar bildirdi ve bu kez Telegram, ekibinin EvilVideo'yu
araştırdığını doğrulamak için aynı gün ESET'e ulaştı. Telegam daha sonra 11 Temmuz'da
10.14.5 sürümünü göndererek sorunu çözdü. Güvenlik açığı Android için Telegram'ın
10.14.4'e kadar olan tüm sürümlerini etkiliyordu ancak 10.14.5 sürümünden itibaren
güncellendi.