تهدیدات پنهان در تلگرام اندروید: از EvilVideoتا EvilLoader

تلگرام، پیام‌رسانی با بیش از یک میلیارد کاربر، در سال‌های اخیر به میدان حملات سایبری پیچیده تبدیل شده است. دو تهدید برجسته با نام‌های EvilVideo و EvilLoader، که به‌ترتیب در جولای ۲۰۲۴ و مارس ۲۰۲۵ گزارش شده‌اند، از آسیب‌پذیری‌های این برنامه در دستگاه‌های اندرویدی سوءاستفاده کرده‌اند. این مقاله به بررسی این دو تهدید و تفاوت‌های آن‌ها می‌پردازد.

کشف EvilVideo در 2024

در ۲۵ جولای ۲۰۲۴، شرکت Lookout گزارشی منتشر کرد که بر اساس آن، پژوهشگران ESET یک آسیب‌پذیری روز صفر را در تلگرام اندروید کشف کرده بودند. این نقص، که EvilVideo نام گرفت، به مهاجمان اجازه می‌داد فایل‌های جعلی را به شکل ویدیو از طریق چت‌ها، کانال‌ها و گروه‌های تلگرام ارسال کنند. تلگرام به‌طور پیش‌فرض فایل‌های رسانه‌ای را خودکار بارگذاری می‌کند و این ویژگی، راه را برای نفوذ پیلود مخرب بدون نیاز به اقدام کاربر باز می‌کرد.

هنگامی که کاربر تلاش می‌کرد این ویدیو را پخش کند، تلگرام اعلام می‌کرد که فرمت آن پشتیبانی نمی‌شود و پیشنهاد نصب یک برنامه خارجی را می‌داد. این برنامه، یک APK مخرب بود که پس از نصب، بدافزاری به نام CypherRAT را فعال می‌ساخت. CypherRAT قادر بود اطلاعاتی نظیر پیام‌ها، رمزهای عبور، لاگ تماس‌ها و حتی دسترسی به دوربین و میکروفون را سرقت کند. این آسیب‌پذیری، که با کد CVE-2024-7014 شناسایی شد، نسخه‌های قدیمی‌تر از ۱۰.۱۴.۵ تلگرام را تحت تأثیر قرار می‌داد و در ۱۱ جولای ۲۰۲۴ با انتشار نسخه جدید برطرف شد.

تهدیدی پیشرفته تر با نام EvilLoader در مارس ۲۰۲۵

در ۷ مارس ۲۰۲۵، Forbes هشداری درباره بدافزاری به نام EvilLoader منتشر کرد که از همان آسیب‌پذیری  CVE-2024-7014 با رویکردی متفاوت بهره می‌برد. مهاجمان این بار فایل‌های HTML با پسوند “.htm” را به‌عنوان ویدیوهای جعلی از طریق API  تلگرام ارسال می‌کردند. تلگرام این فایل‌ها را به‌عنوان رسانه تشخیص می‌داد و خودکار بارگذاری می‌کرد.

چنانچه کاربر این فایل را باز می‌کرد، دو سناریو رخ می‌داد: در حالت اول، مرورگر دستگاه به‌صورت خودکار فعال می‌شد و صفحه‌ای حاوی کد جاوااسکریپت مخرب را بارگذاری می‌کرد؛ در حالت دوم، کاربر به‌صورت دستی فایل را اجرا می‌کرد که باز هم به اجرای کد مخرب در مرورگر منجر می‌شد. این کد می‌توانست آدرس IP کاربر را به سرور مهاجم ارسال کند یا پیلودهای اضافی مانند تروجان‌های بانکی را بارگذاری کند.

EvilLoader با افزودن قابلیت‌هایی نظیر تشخیص محیط‌های سندباکس و فعال‌سازی در مناطق جغرافیایی خاص، پیچیدگی بیشتری نشان داده است.

تا ۷ مارس ۲۰۲۵، بدافزار EvilLoader همچنان فعال بوده و تهدیدی برای کاربران تلگرام اندروید محسوب می‌شود.

توصیه های امنیتی

کارشناسان به کاربران توصیه می‌کنند که:

• تلگرام را به نسخه ۱۰.۱۴.۵ یا بالاتر به‌روزرسانی کنند.
• بارگذاری خودکار رسانه‌ها را غیرفعال سازند.
• از باز کردن ویدیوهای ناشناس یا نصب برنامه‌های مشکوک خودداری کنند.

این اقدامات می‌تواند از سوءاستفاده این تهدیدات جلوگیری کند.

منابع: