Una vulnerabilità critica chiamata Evilloader minaccia gli utenti Android dell’app di messaggistica Telegram. Essa rappresenta un’evoluzione dell’exploit precedentemente identificato con il codice CVE-2024-7014. Inizialmente risolto nel luglio 2024, è ora riapparso per via di nuove tecniche con cui aggirare le misure di sicurezza adottate a suo tempo.
I rischi per gli utenti di Telegram
Evilloader sfrutta una falla nella gestione dei contenuti multimediali di Telegram. In questo modo permette l’esecuzione di codice JavaScript maligno mascherato da file video. Questo avviene attraverso file HTML modificati nei metadati per sembrare dei contenuti multimediali. Quando il destinatario cerca di aprire il file, Telegram lo interpreta erroneamente come un video. Tale processo attiva il browser web predefinito di Android ed esegue automaticamente il codice JavaScript.
La gravità della vulnerabilità (“Alta severità“) deriva principalmente dalla bassa complessità dell’attacco e dall’alto impatto sull’integrità di sistemi e dati. Gli esperti di sicurezza hanno rilevato che i cybercriminali utilizzano il sistema di gestione dei contenuti di Android sfruttando lo schema URI “content://” per indirizzare automaticamente gli utenti a pagine che eseguono il codice maligno. Vengono quindi attivati degli attacchi che possono variare dalla raccolta di informazioni sensibili, come indirizzi IP e credenziali, fino al download di malware inclusi trojan bancari e strumenti di accesso remoto.
Le fasi dell’attacco
Gli analisti hanno identificato diverse fasi in questa tipologia di attacco:
- la creazione del payload maligno tramite file HTML contenenti JavaScript;
- l’abuso dell’API bot di Telegram per caricare file con MIME type contraffatti;
- l’interazione dell’utente finale che scarica automaticamente o manualmente un file apparentemente innocuo;
- l’esecuzione del codice dannoso attraverso il browser.
Per mitigare la minaccia si raccomanda di aggiornare immediatamente Telegram alla versione 10.14.5 o superiore, disabilitare il download automatico di contenuti multimediali nelle impostazioni dell’app e fare molta attenzione ai file sospetti evitando di aprire contenuti ricevuti da fonti sconosciute.
Per restare sempre aggiornato seguici su Google News!
