استغلال ثغرة في تطبيق Telegram لنشر برامج ضارة مخفية في مقاطع الفيديو

ثغرة أمنية في تطبيق Telegram للهواتف المحمولة لنظام Android تسمى EvilVideo، جعلت من الممكن للمهاجمين الوصول إلى ملفات ضارة متخفية في شكل مقاطع فيديو تبدو غير ضارة.

وقالت شركة ESET إن الاستغلال ظهر للبيع بسعر غير معروف في منتدى تحت الأرض في 6 يونيو 2024. بعد الكشف المسؤول في 26 يونيو، تمت معالجة المشكلة بواسطة Telegram في الإصدار 10.14.5 الذي تم إصداره في 11 يوليو.

“يمكن للمهاجمين مشاركة حمولات Android الضارة عبر قنوات Telegram والمجموعات والدردشة وجعلها تظهر كملفات وسائط متعددة،” الباحث الأمني ​​Lukáš Štefanko قال في تقرير.

من المعتقد أن الحمولة تم إعدادها باستخدام واجهة برمجة تطبيقات Telegram (واجهة برمجة التطبيقات)، والذي يسمح بتحميلات برمجية لملفات الوسائط المتعددة إلى الدردشات والقنوات. ومن خلال القيام بذلك، فإنه يمكّن المهاجم من إخفاء ملف APK الضار على شكل فيديو مدته 30 ثانية.

يتم عرض رسالة تحذير فعلية للمستخدمين الذين ينقرون على الفيديو تفيد بأنه لا يمكن تشغيل الفيديو وتحثهم على محاولة تشغيله باستخدام مشغل خارجي. إذا تابعوا هذه الخطوة، فسيُطلب منهم لاحقًا السماح بتثبيت ملف APK من خلال Telegram. التطبيق المعني يدعى “xHamster Premium Mod”.

قال ستيفانكو: “افتراضيًا، يتم تعيين ملفات الوسائط المستلمة عبر Telegram للتنزيل تلقائيًا”. “وهذا يعني أن المستخدمين الذين تم تمكين الخيار لديهم سيقومون تلقائيًا بتنزيل الحمولة الضارة بمجرد فتح المحادثة حيث تمت مشاركتها.”

على الرغم من أنه يمكن تعطيل هذا الخيار يدويًا، إلا أنه لا يزال من الممكن تنزيل الحمولة عن طريق النقر على زر التنزيل المصاحب للفيديو المفترض. ومن الجدير بالذكر أن الهجوم لا يعمل على عملاء Telegram للويب أو تطبيق Windows المخصص.

ليس من الواضح حاليًا من يقف وراء هذا الاستغلال ومدى انتشاره في الهجمات الواقعية. ومع ذلك، أعلن نفس الممثل في يناير 2024 عن برنامج تشفير Android غير قابل للاكتشاف بالكامل (المعروف أيضًا باسم التشفير) والذي يقال إنه يمكنه تجاوز Google Play Protect.

النجاح الفيروسي لـ Hamster Kombat يؤدي إلى تقليد خبيث

ويأتي هذا التطوير في الوقت الذي يستفيد فيه مجرمو الإنترنت من لعبة العملات المشفرة المستندة إلى Telegram الهامستر كومبات لتحقيق مكاسب مالية، مع اكتشاف ESET لمتاجر تطبيقات مزيفة تروج للتطبيق، ومستودعات GitHub التي تستضيف Lumma Stealer لنظام التشغيل Windows تحت ستار أدوات التشغيل الآلي للعبة، وقناة Telegram غير رسمية تُستخدم لتوزيع حصان طروادة Android يسمى Ratel.

اللعبة الشهيرة التي تم إطلاقها في مارس 2024 هي مُقدَّر لتضم أكثر من 250 مليون لاعب بحسب مطور اللعبة. الرئيس التنفيذي لشركة Telegram بافل دوروف مُسَمًّى Hamster Kombat “الخدمة الرقمية الأسرع نموًا في العالم” وأن “فريق Hamster سوف يسك رمزه المميز طن، وتقديم فوائد blockchain لمئات الملايين من الناس.”

تم تصميم Ratel، المقدم عبر قناة Telegram المسماة “hamster_easy”، لانتحال شخصية اللعبة (“Hamster.apk”) ويطلب من المستخدمين منحها حق الوصول إلى الإشعارات وتعيين نفسها كتطبيق الرسائل القصيرة الافتراضي. ويبدأ بعد ذلك الاتصال بخادم بعيد للحصول على رقم هاتف كرد.

في الخطوة التالية، ترسل البرامج الضارة رسالة نصية قصيرة باللغة الروسية إلى رقم الهاتف هذا، ومن المحتمل أن تكون تابعة لمشغلي البرامج الضارة، لتلقي تعليمات إضافية عبر الرسائل القصيرة.

“بعد ذلك تصبح الجهات الفاعلة في التهديد قادرة على التحكم في الجهاز المخترق عبر الرسائل القصيرة: يمكن أن تحتوي رسالة المشغل على نص ليتم إرساله إلى رقم محدد، أو حتى توجيه الجهاز للاتصال بالرقم،” ESET قال. “البرامج الضارة قادرة أيضًا على التحقق من رصيد الحساب المصرفي الحالي للضحية لدى Sberbank روسيا عن طريق إرسال رسالة تحتوي على النص balанс (الترجمة: الرصيد) إلى الرقم 900.”

يسيء Ratel استخدام أذونات الوصول إلى الإشعارات الخاصة به لإخفاء الإشعارات مما لا يقل عن 200 تطبيق بناءً على قائمة مشفرة مدمجة بداخلها. ويشتبه في أن هذا يتم لمحاولة اشتراك الضحايا في العديد من الخدمات المميزة ومنع تنبيههم.

وقالت شركة الأمن السيبراني السلوفاكية إنها رصدت أيضًا واجهات متاجر تطبيقات مزيفة تدعي أنها تقدم Hamster Kombat للتنزيل، ولكنها في الواقع توجه المستخدمين إلى إعلانات غير مرغوب فيها، ومستودعات GitHub التي تقدم أدوات أتمتة Hamster Kombat التي تنشر Lumma Stealer بدلاً من ذلك.

وقال ستيفانكو وبيتر ستريتشيك: “إن نجاح Hamster Kombat أدى أيضًا إلى ظهور مجرمي الإنترنت، الذين بدأوا بالفعل في نشر برامج ضارة تستهدف لاعبي اللعبة”. “إن شعبية Hamster Kombat تجعلها جاهزة للإساءة، مما يعني أنه من المحتمل جدًا أن تجتذب اللعبة المزيد من الجهات الفاعلة الخبيثة في المستقبل.”

برنامج BadPack Android الخبيث يتسلل عبر الشقوق

وبعيدًا عن Telegram، اتخذت ملفات APK الضارة التي تستهدف أجهزة Android أيضًا شكل BadPack، والتي تشير إلى ملفات الحزمة المصممة خصيصًا والتي تم فيها تغيير معلومات الرأس المستخدمة في تنسيق أرشيف ZIP في محاولة لعرقلة التحليل الثابت.

ومن خلال القيام بذلك، تتمثل الفكرة في منع استخراج ملف AndroidManifest.xml – وهو ملف بالغ الأهمية يوفر معلومات أساسية حول تطبيق الهاتف المحمول – وتحليله بشكل صحيح، وبالتالي السماح بتثبيت العناصر الضارة دون رفع أي إشارات حمراء.

تم توثيق هذه التقنية على نطاق واسع بواسطة Kaspersky في وقت سابق من شهر أبريل الماضي فيما يتعلق بفيروس حصان طروادة لنظام Android والذي يُشار إليه باسم SoumniBot والذي استهدف المستخدمين في كوريا الجنوبية. كشفت بيانات القياس عن بعد التي جمعتها وحدة Palo Alto Networks Unit 42 في الفترة من يونيو 2023 حتى يونيو 2024 عن ما يقرب من 9200 عينة من BadPack في البرية، على الرغم من عدم العثور على أي منها في متجر Google Play.

“هذه الترويسات التي تم العبث بها هي سمة أساسية في BadPack، ومثل هذه العينات تشكل عادةً تحديًا لأدوات الهندسة العكسية لنظام Android،” الباحث في الوحدة 42، Lee Wei Yeong قال في تقرير نشر الأسبوع الماضي. “العديد من أحصنة طروادة المصرفية المستندة إلى Android، مثل BianLian وCerberus وTeaBot، تستخدم BadPack.”

تحديث

وفي بيان تمت مشاركته مع The Hacker News، قالت Telegram إن الاستغلال ليس ثغرة أمنية في النظام الأساسي، وقد نشرت إصلاحًا من جانب الخادم في 9 يوليو 2024 لتأمين المستخدمين.

وقالت الشركة: “كان الأمر يتطلب من المستخدمين فتح الفيديو، وضبط إعدادات أمان Android، ثم تثبيت تطبيق وسائط يبدو مريبًا يدويًا”، مؤكدة أن هذا الاستغلال لا يشكل خطرًا أمنيًا إلا عندما يقوم المستخدمون بتثبيت التطبيق بعد تجاوز ميزة الأمان.

وقالت جوجل إن مستخدمي أندرويد يتم تأمينهم تلقائيًا ضد أحصنة طروادة عبر Google Play Protect، والذي يتم تمكينه افتراضيًا على جميع الأجهزة المزودة بخدمات Google Play. وقالت: “يمكن لـ Google Play Protect تحذير المستخدمين أو حظر التطبيقات المعروفة بأنها تظهر سلوكًا ضارًا، حتى عندما تأتي هذه التطبيقات من مصادر خارج Play”.