人気Androidアプリにゼロデイ脆弱性、動画に扮してマルウェア感染

ESETは7月22日(現地時間)、「Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android」において、Android向けTelegramアプリにゼロデイの脆弱性が存在したと伝えた。この脆弱性を悪用されると、マルチメディアファイルを装って悪意のあるアプリを配布できるという。
○脆弱性の詳細
ESETが特定したTelegramの脆弱性は、「Ancryno」と名乗る脅威アクターがアンダーグラウンドフォーラムにて販売していたもの。この脆弱性はTelegram バージョン10.14.4およびこれ以前のバージョンで動作し、マルチメディアファイルとしてマルウェアなどを配布できるという。
この脆弱性はマルチメディアファイルのプレビュー表示に依存するとみられている。そのため、悪意のあるファイルは添付ファイルとしてではなく、チャットなどに30秒のプレビュー動画として表示される。Telegramのデフォルト設定では動画を自動的にダウンロードするため、ユーザーがチャットを開くだけで悪意のあるファイルは自動的にダウンロードされる。
悪意のあるプレビュー動画を再生しようとするとTelegramは再生に失敗し、代わりに外部アプリを使用して再生するか確認するメッセージを表示する。ユーザーが外部アプリの使用を許可すると、Telegramは外部アプリのインストールを要求する。
この外部アプリがマルウェアを含むアプリとされる。ESETは脆弱性の再現に失敗したとして、これ以上の詳細な分析は公開していない。しかしながら、脅威アクターが配布したサンプルによりセキュリティ脆弱性の検証は可能だったと説明している。
○対策
この脆弱性はAndroid向けTelegramのみ影響を受ける。Windowsなど他のプラットフォームのTelegramでは、悪意のあるファイルを最後まで動画ファイルとして扱うため影響を受けない。
ESETはこの脆弱性を「EvilVideo」と名付け、6月26日(現地時間)にTelegramに報告している。Telegramは報告を受けて脆弱性を修正したバージョン10.14.5を7月11日にリリースした。
Android向けTelegramアプリを利用しているユーザーには、脆弱性の影響を回避するため速やかに最新版にアップデートすることが推奨されている。また、ESETは本件調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。