Người dùng Android Telegram đối mặt nguy cơ từ cuộc tấn công EvilVideo mới

Telegram, vốn được biết đến như một nền tảng đề cao quyền riêng tư kỹ thuật số với các tính năng như trò chuyện bí mật, mã hóa đầu cuối (ngoại trừ trò chuyện nhóm), xác minh hai bước, tin nhắn tự hủy, hỗ trợ proxy và khả năng ẩn số điện thoại, đang đối mặt với một thách thức lớn. Chính những tính năng bảo mật này, như một con dao hai lưỡi, cũng tạo ra môi trường thuận lợi cho các hoạt động độc hại.

Tháng 8 năm ngoái, CEO Telegram Pavel Durov đã bị tạm giữ tại Pháp vì cáo buộc không ngăn chặn các hoạt động bất hợp pháp trên nền tảng. Ngay sau đó, Telegram đã thực hiện một số biện pháp để hạn chế các hoạt động độc hại, đồng thời thay đổi điều khoản dịch vụ và chính sách quyền riêng tư, tuyên bố sẽ cung cấp địa chỉ IP và số điện thoại của những kẻ lừa đảo cho các cơ quan chức năng nếu được yêu cầu. Điều này đặt ra nghi vấn về cam kết bảo vệ quyền riêng tư của Telegram.

Lỗ hổng “EvilLoader” lợi dụng video giả mạo để phát tán mã độc

Mặc dù có những cảnh báo, các đối tượng xấu vẫn tiếp tục khai thác người dùng trên nền tảng này, và gần đây, một lỗ hổng mới mang tên “EvilLoader” đang lan truyền.

Được nhà nghiên cứu an ninh mạng 0x6rss (thông qua TechIssuesToday) phát hiện, những kẻ lừa đảo đang sử dụng lỗ hổng này để cài đặt phần mềm độc hại vào thiết bị của người dùng thông qua Telegram, ẩn sau vỏ bọc của một video vô hại. Phương thức hoạt động là lừa người dùng mở một tệp video, thực chất chứa mã độc được ngụy trang dưới dạng phần mở rộng .htm. Khi video được phát, phần mở rộng .htm sẽ hiển thị thông báo lỗi “ứng dụng không thể phát video này”, yêu cầu người dùng “thử phát trong trình duyệt bên ngoài”. Sau khi trình duyệt được mở, mã độc sẽ hiển thị một danh sách Play Store trông hợp lệ, lừa người dùng tải xuống phần mềm độc hại và tiết lộ địa chỉ IP của họ.

Lỗ hổng chưa được vá, tiềm ẩn nguy cơ lớn

“EvilLoader” được xây dựng dựa trên lỗ hổng “EvilVideo” trước đó, xuất hiện vào mùa hè năm ngoái và đã được vá. Tuy nhiên, “EvilLoader” vẫn chưa được vá trong phiên bản Telegram mới nhất 11.7.4 và có thể được sử dụng để khai thác các nạn nhân tiềm năng. Theo mobile-hacker, phần mở rộng .htm đã được bán trên các diễn đàn ngầm từ ít nhất ngày 15 tháng 1 năm 2025.

Biện pháp phòng ngừa cho người dùng

Người dùng chỉ có thể trở thành nạn nhân của lỗ hổng này nếu họ đã bật tính năng cài đặt ứng dụng không rõ nguồn gốc thông qua trình duyệt mặc định. Để phòng ngừa, người dùng Telegram có thể truy cập Cài đặt → Ứng dụng → Truy cập ứng dụng đặc biệt → Cài đặt ứng dụng không rõ nguồn gốc → chọn trình duyệt mặc định → tắt “Cho phép từ nguồn này”.

Lỗ hổng “EvilLoader” đặt ra một mối đe dọa nghiêm trọng đối với người dùng Telegram, làm suy yếu niềm tin vào tính bảo mật của nền tảng. Telegram cần nhanh chóng vá lỗ hổng này và tăng cường các biện pháp bảo mật để bảo vệ người dùng khỏi các cuộc tấn công độc hại. Người dùng cũng cần nâng cao cảnh giác và thực hiện các biện pháp phòng ngừa để bảo vệ thiết bị và thông tin cá nhân của mình.