新闻1:纸飞机安卓版惊现0day漏洞,恶意软件藏在小视频中被疯传
Telegram的Android版移动应用程序存在一个名为EvilVideo的零日安全漏洞,攻击者可利用该漏洞将恶意文件伪装成看似无害的视频。
ESET称,2024年6月6日,该漏洞利用程序在一个地下论坛上以未知价格出售。在6月26日负责任地披露之后,Telegram在7月11日发布的10.14.5版本中解决了这个问题。
安全研究员Lukáš Štefanko在一份报告中说:“攻击者可以通过Telegram频道、群组和聊天分享恶意的Android有效载荷,并使它们看起来像是多媒体文件。”
据信,该有效载荷是使用Telegram的应用程序编程接口(API)配制的,该接口允许通过编程将多媒体文件上传到聊天和频道。这样做可以让攻击者将恶意的APK文件伪装成30秒的视频。
点击视频的用户会看到一条实际的警告消息,指出视频无法播放,并敦促他们尝试使用外部播放器播放。如果他们继续执行此步骤,系统会随后要求他们允许通过Telegram安装APK文件。该应用程序名为“xHamster Premium Mod”。
关键词:零日安全漏洞、恶意软件、Telegram、Android、EvilVideo、多媒体文件、应用编程接口(API)、APK文件