EvilLoader: Unpatched Telegram vulnerability for Android revealed

26 января 2025 года в сообществе кибербезопасности вспыхнула новая тревога: исследователь вредоносного ПО и киберразведки 0x6rss сообщил о выявлении опасной уязвимости в Telegram для Android. Новая угроза, получившая название EvilLoader, позволяет злоумышленникам замаскировать вредоносные APK-файлы под видеоролики. Как отмечает специалист, данный эксплойт уже функционирует в последней версии приложения — Telegram 11.7.4 — и пока остаётся без исправления со стороны разработчиков.

Согласно опубликованным данным, уязвимость открывает широкие возможности для распространения вредоносного ПО: от шпионских программ до троянов и вымогателей. Более того, начиная с 15 января 2025 года, код эксплойта появился на подпольных форумах, что, безусловно, значительно повысило риск масштабных атак. Исходя из этого, эксперты предупреждают: любой пользователь Telegram теперь может стать потенциальной жертвой.

Как работает EvilLoader: технические детали

Как уточняет 0x6rss, суть атаки заключается в использовании механизма обработки медиафайлов в Telegram. В частности, злоумышленник создаёт вредоносный HTML-файл, переименованный с расширением .mp4. Telegram, в свою очередь, ошибочно определяет его как видеофайл. Далее, при попытке воспроизведения мессенджер предлагает открыть файл во внешнем приложении — именно на этом этапе пользователь может, сам того не зная, установить вредоносное приложение.

Важно отметить, что перед установкой APK-файла система потребует разрешения на установку программ из неизвестных источников. Тем не менее, как показывает практика, пользователи зачастую дают такие разрешения, не подозревая об опасности, особенно если файл приходит от «знакомого» контакта.

EvilLoader — не первая угроза такого типа

Следует напомнить, что это уже второй случай выявления подобной уязвимости в Telegram. Ещё в июле 2024 года тот же исследователь раскрыл аналогичный эксплойт под названием EvilVideo, зарегистрированный под идентификатором CVE-2024-7014. По своей сути тот механизм атаки был практически идентичен EvilLoader, что, безусловно, указывает на системную уязвимость в медиапарсинге Telegram.

Почему это особенно опасно

На текущий момент существует ряд факторов, усиливающих значимость угрозы:

— Во-первых, Telegram по-прежнему не выпустил обновление, устраняющее уязвимость.
— Во-вторых, эксплойт уже активно распространяется на подпольных форумах, что делает его доступным для любых злоумышленников, независимо от уровня их подготовки.
— В-третьих, высокая степень доверия пользователей к Telegram значительно упрощает распространение заражённых файлов.

Учитывая всё вышесказанное, киберэксперты настоятельно рекомендуют пользователям соблюдать повышенные меры предосторожности.

Как защитить себя: рекомендации специалистов

До тех пор, пока Telegram не устранит уязвимость, специалисты советуют:

• Внимательно следить за обновлениями приложения и при первой же возможности устанавливать новые версии.
• Отключить автозагрузку медиафайлов — это снизит риск случайного открытия заражённого контента.
• Избегать открытия файлов от незнакомых или сомнительных отправителей, особенно если Telegram предлагает использовать внешнее приложение.
• Установить и регулярно обновлять антивирусное ПО, способное обнаруживать и блокировать вредоносные APK-файлы.

Таким образом, несмотря на отсутствие официального патча, каждый пользователь уже сейчас может существенно снизить риск заражения, если будет соблюдать базовые правила цифровой гигиены. Очевидно, что в условиях роста цифровых атак именно внимательность и осведомлённость становятся ключевыми средствами защиты.