欺诈者利用安卓版Telegram漏洞推送恶意软件 用户应当谨慎点击未知来源信息
山外的鸭子哥
2024 年 6 月即时通讯工具 Telegram 被发现存在漏洞,漏洞仅适用于 Telegram for Android,黑客可以创建特制的 APK 文件发送给用户,用户收到消息时会显示为嵌入式视频并自动下载。
如果用户尝试点击该视频进行播放则系统弹出通知要求安装这个未知的 APK 文件,黑客通过这种方式诱骗用户安装恶意应用从而盗取机密信息例如加密钱包的私钥。
现在这个漏洞再次回归,虽然没法像之前那样直接自动下载 APK 并提示用户安装,但仍然可以伪装为嵌入式视频诱导用户点击外部链接。
安全研究人员 0x6rss 发现欺诈者通过这个漏洞将恶意软件推送给用户,之所以说是欺诈者而非黑客,是因为目前该漏洞的攻击方式仅限于诱导,而不是直接攻击。
欺诈者尝试的操作流程如下:
购买包含该漏洞利用方式的.htm 文件,修改该文件并在里面添加恶意应用的网络页面,将这个.htm 文件发送给目标用户。
此时 Telegram for Android 接收到这个.htm 时会显示为视频,当用户点击时会提示应用无法播放次视频,提示用户尝试在外部浏览器中播放。
当用户再次点击后会跳转到伪装成 Google Play 的钓鱼页面,如果用户在这里下载这个恶意 APK 文件并执行安装,那欺诈者的目标就达成了。
也就是用户至少需要在收到信息后点击 3~4 次并解除 Android 系统安装未知来源应用的限制,最后再成功安装,这个步骤有些多但可能会让一些初级用户中招。
研究人员将漏洞命名为 EvilLoader,即建立在去年 6 月的 EvilVideo 漏洞基础上,研究人员还注意到这个.htm 文件至少从 2025 年 1 月 15 日开始就在地下黑客论坛中售卖。
而漏洞根源非常简单,那就是 Telegram 将 .htm 文件识别为视频,这和去年 6 月的漏洞几乎一样,Telegram 似乎会将多种类型的文件都认为是视频。
鉴于目前 Telegram 还未修复这个漏洞,如果想要提高安全保护的话,用户可以在安卓设置中关闭默认浏览器安装未知应用程序权限:设置、应用、特殊应用访问、安装未知来源、选择您的默认浏览器、关闭允许此来源。
注:目前这个 .htm 文件内容已被公开,相关的钓鱼可能会增多,请注意提防。
