EvilVideo

EvilVideoは脆弱性につけられた名前です。
ずいぶんな名前が付けられています。
どんなことになるのでしょうか。

• 想定環境はTelegram
  攻撃の舞台はTelegramです。
  Telegramはセキュリティー性の高さから世界中で利用されているテキストチャット・ビデオチャットなどが可能なインスタントメッセージアプリケーションです。
  通信内容が暗号化されるため、いろんな意味で都合が良いものになっています。
• Telegramのチャンネルを閲覧する
  Telegramはチャットツールですので利用者はチャットのチャンネルを閲覧します。
• 添付されたものが自動でダウンロードされる
  チャットアプリですので、そこには文字が投稿されますし、写真が投稿されることもあります。
  ビデオなどのマルチメディアファイルが投稿されることもあるでしょう。
  こういった投稿されたものは閲覧者の便利のため、利用者がそのチャンネルを閲覧したタイミングでアプリが自動でダウンロードしてくれます。
  例えばそのファイルがビデオなどのマルチメディアファイルの場合は利用者は単にそのファイルをタップすれば再生されるので待たなくてよくて便利、というわけです。
• マルチメディアファイルが再生できない
  見ているチャンネルでマルチメディアファイルがあったので、閲覧者はタップして再生を試みます。
  しかしなぜか再生できません。
  そして再生するためにその環境にインストールされていない外部アプリを使うことが推奨される表示がされます。
• 外部アプリ？を入手する
  難しいことはありません。
  提示された外部アプリを勧めている開くボタンをタップするだけです。
  タップすると外部のアプリが閲覧者の環境にインストールされると思える流れになっています。
  実際は少し異なります。
  開くボタンをタップするとダウンロード済みのマルチメディアファイルが環境にインストールされます。
  そうです、マルチメディアファイルだと見えるように表示されていて自動的にダウンロードされていたものは、マルチメディアファイルではなく偽装されたアプリケーションファイルだったのです。
  インストールされたものはマルウェアでした。

どうしてこんなことになってしまったのでしょう。
この脆弱性はAndroid版の古いTelegramにのみ存在しています。
脆弱性のある古いAndroid版のTelegramに存在するAndroidアプリをバイナリ添付ファイルではなくマルチメディアプレビューとして表示するペイロードを作成できてしまうということを悪用したものとなっています。

この問題を修正したものは7月11日にバージョン10.14.5としてリリースされています。
脆弱性が存在するのはAndroid版Telegramの10.14.4 までのすべてのバージョンです。

開くボタンのタップ、怖くなってしまいました。

ESET Research discovers EvilVideo: Telegram app for Android targeted by zero-day exploit sending malicious videos
https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-discovers-evilvideo-telegram-app-for-android-targeted-by-zero-day-exploit-sending-malicious-videos/