EvilLoader - Unpatched Telegram for Android 0-Day Vulnerability Lets Attackers Install Malware Via Video Files
A new zero-day vulnerability in Telegram for Android, dubbed EvilLoader, has been uncovered by malware analyst 0x6rss.
gbhackers.com
- 개요
- 보안 연구원 0x6rss가 Telegram 안드로이드 버전(11.7.4)에서 패치되지 않은 제로데이 취약점 EvilLoader를 발견
- 해당 취약점은 MP4 확장자를 가진 HTML 파일을 이용해 Telegram이 이를 정상적인 영상 파일로 인식하게 유도
- 사용자가 이 "영상"을 실행하면 Telegram은 외부 앱에서 열도록 유도하며, 이를 통해 악성 APK가 설치될 수 있음
- 공격 메커니즘
- Telegram의 미디어 파일 처리 방식의 허점을 악용해 악성 HTML 파일을 MP4로 가장
- 사용자가 영상으로 인식된 파일을 클릭하면, Telegram은 이를 외부 앱에 넘기며 사용자 승인 후 악성 APK 실행 가능
- Telegram의 파일 실행 처리 흐름 우회를 통해 시스템 권한 확보 가능성도 존재
- 악성코드 유포 실태
- 2025년 1월 15일부터 EvilLoader 익스플로잇이 언더그라운드 포럼에서 거래되고 있음
- 사이버 범죄자들이 쉽게 구매 및 배포 가능해 광범위한 악용 가능성 존재
- 기존 EvilVideo(CVE-2024-7014)와 유사한 동작 방식으로, Telegram 영상 파일 관련 보안 취약점이 반복적으로 악용되고 있음
- 유사 취약점 사례 비교
- EvilVideo: 2024년 7월에 공개된 Telegram 영상 파일 처리 취약점으로, 악성 APK 배포 경로로 활용됨
- EvilLoader는 해당 공격기법을 계승하면서도 파일 포맷 우회 및 사용자 인터랙션 유도 기법이 고도화됨
- Telegram 플랫폼의 미디어 핸들링 구조적 보안 미비가 근본적 원인으로 분석됨
- 보안 권고
- Telegram 사용자 설정에서 자동 미디어 다운로드 비활성화
- 신뢰할 수 없는 출처의 영상 파일 및 메시지 실행 금지
- 모바일 안티바이러스 앱을 설치하고 APK 탐지 기능 활성화
- Telegram은 취약점 통보를 받았으며, 패치 적용 전까지 사용자의 자가보안 강화 필요
- 향후 메시징 앱 전반에 걸친 미디어 핸들링 구조 재설계 및 취약점 대응 체계 강화 필요
- 결론
- EvilLoader는 사용자 신뢰를 이용해 Telegram의 안드로이드 앱 구조를 악용한 신형 사회공학 기반 공격
- 현재까지 패치가 제공되지 않아 제로데이 위협이 지속 중이며, 사용자의 보안 인식 강화가 핵심
- 메시징 앱 사용자들은 미디어 파일 실행 시 출처 검증 및 자동 실행 기능 차단을 통해 공격을 사전 차단해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Medusa 랜섬웨어, 2025년 들어 40건 이상 공격, 최대 1,500만 달러 요구 (0) | 2025.04.01 |
|---|---|
| PrintSteal 사이버 범죄 그룹의 대규모 위조 Aadhaar 및 PAN 카드 제작 활동 분석 (0) | 2025.04.01 |
| 클라우드 서비스의 'Any/Any' 통신 구성 악용한 악성코드 호스팅 사례 분석 (0) | 2025.04.01 |
| GitHub 악용 대규모 Malvertising 캠페인을 통한 정보 탈취 공격 분석 (0) | 2025.04.01 |
| 악성 트래픽 분산 시스템(TDS) 탐지와 대응 방안 (0) | 2025.04.01 |