/origin-imgresizer.eurosport.com/2025/03/15/4109705-83331764-310-310.jpg)
/origin-imgresizer.eurosport.com/2025/03/15/4109716-83331984-310-310.jpg)
/origin-imgresizer.eurosport.com/2025/03/15/4109788-83333424-310-310.jpg)
EvilLoader, c’è una grave vulnerabilità irrisolta in Telegram. Come difendersi
Un exploit denominato EvilLoader sfrutta una vulnerabilità nell'ultima versione di Telegram per Android, permettendo l'esecuzione di codice arbitrario tramite file APK mascherati da video. La falla, simile al precedente exploit EvilVideo (CVE-2024-7014), è già documentata e il payload è in vendita sul mercato nero.
Il caso Paragon Graphite, che ha portato all’esecuzione di codice arbitrario sui dispositivi di alcuni utenti WhatsApp, ha portato sotto gli occhi di tutti la pericolosità delle falle zero-day presenti nelle applicazioni di uso comune. Questa volta una grave vulnerabilità affligge Telegram: il codice exploit, battezzato EvilLoader, consente agli attaccanti di mascherare file APK malevoli come semplici video, portando potenzialmente all’installazione di malware senza il consenso informato dell’utente.
Exploit EvilLoader in Telegram: rischio esecuzione codice dannoso sui dispositivi Android
Ad essersi accorto del problema di sicurezza è un ricercatore indipendente che conferma la presenza della vulnerabilità nell’ultima versione dell’app Telegram (11.7.4). A complicare la situazione il fatto che l’exploit è già documentato nel dettaglio sotto forma di Proof of Concept (PoC), mentre il relativo payload è in vendita nel “mercato nero” dal 15 gennaio 2025.
Il meccanismo di attacco sfrutta un’anomalia nella gestione dei file video da parte di Telegram, permettendo il download e l’esecuzione di applicazioni dannose. Il file infetto è inviato come video (modificato ad arte) dall’aggressore. Una volta aperto, Telegram chiede all’utente di avviare il contenuto tramite un’app esterna. Se l’utente accetta, il malware viene installato sul dispositivo.
L’exploit EvilLoader fa perno su un file HTML camuffato da video MP4. Quando condiviso tramite Telegram, l’app lo riconosce erroneamente come contenuto multimediale legittimo. Dopo l’apertura, l’utente concede indirettamente le autorizzazioni necessarie per l’installazione.
Rischio elevato e vulnerabilità senza patch
Non è la prima volta che in Telegram per Android emerge una vulnerabilità simile. Un precedente exploit, denominato EvilVideo (CVE-2024-7014), utilizzava una tecnica analoga e si è diffuso nei mercati underground nel 2024.
L’attuale exploit è in circolazione ed è attivamente venduto nei forum cybercriminali. La sua disponibilità al pubblico amplifica il rischio per milioni di utenti, esponendoli a minacce come spyware, ransomware e altre forme di malware.
Come proteggersi
Fino a quando Telegram non rilascerà una patch, gli utenti possono ridurre il rischio adottando alcune misure di sicurezza:
- Disabilitare il download automatico nelle impostazioni di Telegram.
- Non aprire file video sospetti, specialmente se Telegram richiede un’app esterna per la riproduzione.
- Verificare l’origine dei file ricevuti e prestare particolare attenzione ai contenuti che arrivano da contatti sconosciuti.
- Utilizzare software di sicurezza (i.e. antimalware per Android) al fine di rilevare eventuali APK malevoli.
