The New Oil<p><a href="https://mastodon.thenewoil.org/tags/EvilLoader" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>EvilLoader</span></a>: Unpatched <a href="https://mastodon.thenewoil.org/tags/Telegram" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>Telegram</span></a> for <a href="https://mastodon.thenewoil.org/tags/Android" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>Android</span></a> Vulnerability Disclosed</p><p><a href="https://www.mobile-hacker.com/2025/03/05/evilloader-unpatched-telegram-for-android-vulnerability-disclosed/" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://www.</span><span class="ellipsis">mobile-hacker.com/2025/03/05/e</span><span class="invisible">villoader-unpatched-telegram-for-android-vulnerability-disclosed/</span></a></p><p><a href="https://mastodon.thenewoil.org/tags/cybersecurity" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cybersecurity</span></a></p>
Recent searches
No recent searches
Search options
Not available on mastodon.xyz.
mastodon.xyz is one of the many independent Mastodon servers you can use to participate in the fediverse.
A Mastodon instance, open to everyone, but mainly English and French speaking.
Administered by:
Server stats:
817active users
mastodon.xyz: About · Profiles directory · Privacy policy
Mastodon: About · Get the app · Keyboard shortcuts · View source code · v4.3.4
#evilloader
0 posts · 0 participants · 0 posts today
KR. Laboratories 🇺🇦<p>В TELEGRAM ВИЯВИЛИ СТАРУ-НОВУ ВРАЗЛИВІСТЬ. ВИМИКАЙТЕ АВТОЗАВАНТАЖЕННЯ!</p><p><a href="https://vimeo.com/1062942805" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="">vimeo.com/1062942805</span><span class="invisible"></span></a></p><p>Вразливість про яку йде мова, вперше була зафіксована ще у 2024-му році (CVE-2024-7014) й описана дослідниками ESET (<a href="https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://www.</span><span class="ellipsis">welivesecurity.com/en/eset-res</span><span class="invisible">earch/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/</span></a>). Потім її начебто полагодили... І ось на днях дослідник 0x6rss (<a href="https://cti.monster/blog/2025/03/04/evilloader.html" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">cti.monster/blog/2025/03/04/ev</span><span class="invisible">illoader.html</span></a>) заявив, що вона знову працює! </p><p>Також з'явилася розгорнута стаття на порталі Mobile Hacker (<a href="https://www.mobile-hacker.com/2025/03/05/evilloader-unpatched-telegram-for-android-vulnerability-disclosed/" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://www.</span><span class="ellipsis">mobile-hacker.com/2025/03/05/e</span><span class="invisible">villoader-unpatched-telegram-for-android-vulnerability-disclosed/</span></a>). Паралельно з цим, на форумі XSS.IS (<a href="https://xss.is/threads/130933/" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="">xss.is/threads/130933/</span><span class="invisible"></span></a>) відновили продаж експлойту "EvilLoader", який експлуатує цю діру. </p><p>POC вже розмістили на GitHub і його потихеньку "розкручують": <a href="https://github.com/0x6rss/telegram-video-extension-manipulation-PoC" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">github.com/0x6rss/telegram-vid</span><span class="invisible">eo-extension-manipulation-PoC</span></a></p><p>Я вирішив теж погратися з ним і записав відео з підтвердженням, що ця вразливість актуальна станом на 05.03.2025 в Telegram Android v11.7.4 (остання найсвіжіша версія). </p><p>Отже, як цей баг працює і чим він небезпечний? </p><p>1. Хакер створює в Telegram через @BotFather бота, називає його якось по цікавому, наприклад "Free Telegram Premium", "OsintProbyvUA_bot" або "SBU_infobot" і запускає в оборот. Його завдання - підсунути вам свого бота. Зробити це він зможе під будь-яким соусом чи предлогом.</p><p>2. Необізнана наївна жертва заходить в цей бот, тисне кнопку START і запускає його. Бот у відповідь відправляє фейковий відеофайл mp4, який насправді є шкідливим htm-файлом. У цьому і полягає вся вразливість - API Telegram дозволяє будь-кому зловживати довірою до нього і відправляти користувачам фальшивий файл у вигляді відео! </p><p>3. Далі жертва пробує натиснути на "відео", щоб переглянути його. І тут сам Telegram повідомляє жертві, що його неможливо переглянути у месенджері і треба відкрити сторонній додаток. Жертва натискає ОPEN і Android пропонує відеоплеєр чи браузер Chrome. Мене дивує, що зі сторони Telegram ані слова про те, що це насправді фальшивий файл, а не відео!</p><p>4. Як тільки жертва відкриває та завантажує відео - в дію вступає реверс-шел або IP-логгер, або будь-яке інше шпигунське, шкідливе ПЗ. Зловмисник фактично з його допомогою зламує пристрій жертви і бере під контроль Android OS. </p><p>Якщо у вас в Телеграмі увімкене "Автозавантаження медіа", тоді цей шкідливий файл сам автоматично скачується на ваш пристрій і далі розгортається та закріплюється в системі. </p><p>Векторів і способів застосування цієї вразливості може бути безліч. В шкідливий файл .htm під виглядом відео можна запакувати що завгодно. Я наприклад побавився і зробив сторінку для скачування нібито безкоштовного APK-додатка Telegram Premium. Креативні фішери ж запросто згенерують вам ціле дзеркало "Google PlayStore" й користувач ніколи не відрізнить його від справжнього, просто візьме і скачає нібито "легітимну" аплікуху з реверс-шелом. </p><p>Ось так зламуються мобільні пристрої. Ви часто дзвонили і питали, як зламати смартфон, як зламати Telegram. Все банально просто. Не шукайте тут чогось надвичайного.</p><p>Як захиститися?</p><p>1. Найперше, перейдіть в свій Telegram, оберіть "Settings" (Налаштування), відкрийте "Data and Storage" ("Дані і пам'ять") і в блоці "Automatic Media Download" ("Автозавантаження медіа") у всіх розділах ("Через мобільну мережу","Через Wi-Fi", "Через роумінг") вимкніть перемикач «Завантажувати автоматично». Тепер фото і відео будуть завантажуватися лише вашим натисканням по зображенню. </p><p>2. Не підвантажувати неперевірений контент. Не завантажувати будь-які підозрілі відео, стікери чи зображення в Telegram від незнайомих людей. І знайомих теж (вони можуть бути зламані). Я особисто знаю людину, яка дуже любила приймати різні картинки із сердечками, і в одному з них "сидів" інфо-стилер... </p><p>3. Оновити свій Android і Telegram до останньої версії. Хоча, це напевне мало чим допоможе. Ця вразливість присутня навіть в найсвіжішому Телеграм v11.7.4. І я думаю, Дуров не буде її виправляти, так як для нього це - "ФІЧА", а не БАГ. Він вже давно довів своє відношення до безпеки. </p><p>4. Подбати про захист мобільного пристрою. Встановити VPN/Firewall/Антивірус. Будь-який з цих додатків допоможе у даній ситуації. Основна мета - заблокувати будь-які спроби проникнення на пристрій і несанкціоновані з'єднання. VPN зашифрує і анонімізує ваш IP, а Файєрол або Антивірус заблокує їх.</p><p>5. Вимкніть в налаштуваннях Android опцію встановлення додатків з ненадійних джерел.</p><p>До речі, таким способом, тільки через картинку, проводили деанонімізацію користувачів Telegram, протестувальників в Білорусі. Так що це не жарти. І гіпотетично, цим зараз будуть активно зловживати.</p><p>Середньостатистичні користувачі - ідеальні жертви для подібних атак. Дитина або людина похилого віку 100% попадуться на цей гачок. В Facebook вся стрічка українців заповнена повідомленнями "Мій Telegram зламали" (<a href="https://www.youtube.com/shorts/r-kpndAyuJQ" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://www.</span><span class="">youtube.com/shorts/r-kpndAyuJQ</span><span class="invisible"></span></a>). Тому що, тут складно розгледіти підвох - Telegram не застерігає користувача, а навпаки заохочує відкрити сторонній додаток і вийти за межі комфорту. А сам файл автоматично скачується на носій й відкривається за адресою "content://org.telegram.messenger.provider/media/Android/data/org.telegram.messenger/files/Telegram/Telegram%20Video/fake.htm". Користувачу може здатися, що це легітимний домен Telegram, тож він нічого не запідозрить...</p><p>Так що я вас попередив. Бережіть себе!</p><p>P.S. Повністю готовий робочий скрипт з IP-логгером для деанонімізації через Telegram в нашому GitHub: <a href="https://github.com/krlabs/telegram_ethical_hacking/tree/main/CVE-2024-7014" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">github.com/krlabs/telegram_eth</span><span class="invisible">ical_hacking/tree/main/CVE-2024-7014</span></a></p><p><a href="https://infosec.exchange/tags/telegram" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>telegram</span></a> <a href="https://infosec.exchange/tags/CVE_2024_7014" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>CVE_2024_7014</span></a> <a href="https://infosec.exchange/tags/durov" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>durov</span></a> <a href="https://infosec.exchange/tags/messenger" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>messenger</span></a> <a href="https://infosec.exchange/tags/pavel_durov" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>pavel_durov</span></a> <a href="https://infosec.exchange/tags/cybersecurity" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cybersecurity</span></a> <a href="https://infosec.exchange/tags/POC" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>POC</span></a> <a href="https://infosec.exchange/tags/security" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>security</span></a> <a href="https://infosec.exchange/tags/infosec" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>infosec</span></a> <a href="https://infosec.exchange/tags/%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>кібербезпека</span></a> <a href="https://infosec.exchange/tags/itnews" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>itnews</span></a> <br> <a href="https://infosec.exchange/tags/evilloader" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>evilloader</span></a> <a href="https://infosec.exchange/tags/%D1%82%D0%B5%D0%BB%D0%B5%D0%B3%D1%80%D0%B0%D0%BC" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>телеграм</span></a> <a href="https://infosec.exchange/tags/vulnerabilities" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>vulnerabilities</span></a> <a href="https://infosec.exchange/tags/bugs" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>bugs</span></a> <a href="https://infosec.exchange/tags/tg" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>tg</span></a></p>
ExploreLive feeds
Mastodon is the best way to keep up with what's happening.
Follow anyone across the fediverse and see it all in chronological order. No algorithms, ads, or clickbait in sight.
LoginDrag & drop to upload