အဓိကအကြောင်းအရာသို့ သွားမည်
x

Telegram ၏ Zero-Day ကုဒ်သည် အဖျက်အမှောက် Android APK ဖိုင်များကို ဗီဒီယိုအဖြစ် ပေးပို့နေ

          Android အတွက် Telegram တွင် ဖြစ်ပေါ်နေသည့် “EvilVideo” အမည်ရှိ Zero-Day လုံခြုံရေးအားနည်းချက်တစ်ခုသည် တိုက်ခိုက်သူများအား ဗီဒီယိုဖိုင်များ အယောင်ဆောင်ထားသည့် အန္တရာယ်ရှိသော Android APK Payload များကို ဖြန့်ဖြူးနိုင်စေရန် ခွင့်ပြုထားသည်။

          “Ancryno” အမည်ရှိ ဆိုက်ဘာခြိမ်းခြောက်သူတစ်ဦးသည် ၆-၆-၂၀၂၄ ရက်နေ့တွင်  ရုရှားစကားပြော XSS Hacking ဖိုရမ်၏ ပို့စ်တစ်ခု၌ Telegram ၏ Zero-day Exploit ကုဒ်ကို စတင်ရောင်းချခဲ့ပြီး လုံခြုံရေးအားနည်းချက်သည် Telegram v10.14.4 နှင့် ၎င်းအောက် Version များတွင် ဖြစ်ပေါ်နေကြောင်း ဖော်ပြထားသည်။

          ESET ၏ သုတေသီများက Telegram ၏ Public Channel တစ်ခုတွင် အဖျက်အမှောက် Payload ဖိုင်ကို တိုက်ခိုက်သူအား လုပ်ဆောင်ခွင့်ပြုနိုင်သည့် (လုံခြုံရေးအားနည်းချက်ကို တိုက်ခိုက်ပြထားသည့်) သက်သေပြချက်တစ်ခုကို တွေ့ရှိပြီးနောက် အဆိုပါအားနည်းချက်ကို ရှာဖွေတွေ့ရှိခဲ့သည်။

Threat actor selling the exploit on a hacking forum

ဆိုက်ဘာခြိမ်းခြောက်သူမှ Exploit ကုဒ်ကို Hacking ဖိုရမ်တစ်ခုတွင် ရောင်းချနေပုံ (Source: ESET)

          ESET က Exploit ကုဒ်သည် Telegram v10.14.4 နှင့် ၎င်းအောက် Version များတွင် အလုပ်လုပ်ကြောင်း အတည်ပြုခဲ့ပြီး ၎င်းကို “EvilVideo” ဟု အမည်ပေးထားသည်။ ESET ၏ သုတေသီ Lukas Stefanko က အဆိုပါပြစ်ချက်ကို တာဝန်သိသိဖြင့် Telegram သို့ ဇွန် ၂၆ နှင့် နောက်ထပ် ဇူလိုင် ၄ တို့တွင် အသိပေးခဲ့သည်။

          Telegram မှ ဇူလိုင် ၄ ရက်နေ့တွင် ၎င်းတို့အနေဖြင့် အစီရင်ခံစာကို စုံစမ်းနေကြောင်းနှင့်  ဇူလိုင် ၁၁ တွင် ဖြန့်ချိသည့် Version 10.14.5 တွင် လုံခြုံရေးအားနည်းချက်ကို ဖာထေးပြီးပါကြောင်း တုံ့ပြန်ခဲ့သည်။

          ဤအချက်က တိုက်ခိုက်သူများအနေဖြင့် Telegram ဘက်မှ ဖာထေးခြင်းမပြုမီတွင် Zero-Day အဖြစ် တိုက်ခိုက်ရန် အနည်းဆုံး ၅ ပတ်ခန့် အချိန်ရရှိခဲ့ကြောင်း ရည်ညွှန်းနေသည်။

          တိုက်ခိုက်မှုများတွင် ပြစ်ချက်ကို အသုံးပြုခဲ့ခြင်း ရှိ၊ မရှိ ရှင်းရှင်းလင်းလင်း မသိရသော်လည်း ESET အနေဖြင့် Payload ဖိုင်များက အသုံးပြုခဲ့သည့် တိုက်ခိုက်သူများ၏ အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာ (infinityhackscharan.ddns[.]net.) ကို မျှဝေခဲ့သည်။

          BleepingComputer အနေဖြင့် Avast Antivirus သို့မဟုတ် xHamster Premium Mod အယောင်ဆောင်ထားသည့် VirusTotal Website ရှိ အဆိုပါ အမိန့်ပေးထိန်းချုပ်ရေးဆာဗာ အသုံးပြုထားသည့် အဖျက်အမှောက် APK ဖိုင် နှစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။

Telegram အတွက် Zero-Day Exploit ကုဒ်

          EvilVideo Zero-day ပြစ်ချက်သည် Android အတွက် Telegram တွင်သာ အလုပ်လုပ်ပြီး တိုက်ခိုက်သူများအား အထူးပြုလုပ်ထားသော APK ဖိုင်များကို ဖန်တီးရန် ခွင့်ပြုသည်။ Telegram ပေါ်ရှိ အခြားသော သုံးစွဲသူများထံ ပို့သော် ထိုဖိုင်များသည် Video ဖိုင်များအနေဖြင့် ပေါ်နေသည်။

          Exploit ကုဒ်သည် စက္ကန့် ၃၀ စာ ဗီဒီယိုကို ပြသပုံရသည့် Message တစ်ခုကို အစီအစဉ်တကျ ဖန်တီးရန် Telegram API ကို အသုံးပြုကြောင်း ESET က ယုံကြည်သည်။

APK file previewed as a video on Telegram

စက္ကန့် ၃၀ စာ ဗီဒီယိုအပိုင်းဟု ထင်မှတ်ဖွယ်ရှိသည့် APK ဖိုင် (Source: ESET)

          Android ရှိ Telegram App ၏ Default Setting တွင် မီဒီယာဖိုင်များကို အလိုအလျောက် Download လုပ်သည့်အတွက် Channel များရှိ လူများသည် ပြောဆိုမှုကို ဖွင့်ကြည့်ကြလျှင် ၎င်းတို့၏ ဖုန်းများတွင် အဖျက်အမှောက်ကုဒ်ပါသော Payload ဖိုင်ကို လက်ခံရရှိမည်ဖြစ်သည်။

          အလိုအလျောက် Download လုပ်ခြင်းကို ပိတ်ထားသူများအနေဖြင့် ဗီဒီယို၏ Preview ကို တစ်ချက်နှိပ်ရုံမျှဖြင့် ဖိုင်အား Download လုပ်မည်ဖြစ်သည်။

          သုံးစွဲသူများသည် ဗီဒီယိုအတုကို ကြည့်ရှုရန် ကြိုးပမ်းသောအခါ Telegram က External Player အသုံးပြုရန် အကြံပြုပြီး ထိုအချက်က သုံးစွဲသူများအား “ဖွင့်ရန်” ခလုပ်ကို နှိပ်မိစေပြီး အဖျက်အမှောက် Payload ကို အလုပ်လုပ်စေပါသည်။

Prompt to launch an external video player

ပြင်ပဗီဒီယိုပလေယာ တစ်ခုကို ဖွင့်ရန် တောင်းဆိုမှု (Source: ESET)

          ထို့နောက်တွင် နောက်ထပ်အဆင့်တစ်ခု လိုအပ်ပြီး တိုက်ခိုက်ခံရမည့်သူသည် Device Setting မှ “အမည်မသိ App များကို Install လုပ်ခြင်း” အား ခွင့်ပြုရမည်ဖြစ်သည်။ ထိုခွင့်ပြုမှုက ဖုန်းတွင် အဖျက်အမှောက် APK ဖိုင်ကို Install လုပ်ရန် ခွင့်ပြုမိစေသည်။

Final step adding friction in the exploit process

APK အား Install လုပ်ရန်အတွက် ခွင့်ပြုချက်တောင်းခံခြင်း အဆင့် (Source: ESET)

          ဆိုက်ဘာခြိမ်းခြောက်သူက Exploit သည် တစ်ချက်နှိပ်ရုံသာဖြစ်ကြောင်း ပြောဆိုသော်လည်း တိုက်ခိုက်ခံရမည့်သူ၏ ဖုန်းတွင် အောင်မြင်စွာအလုပ်လုပ်နိုင်ရန်  အကြိမ်များစွာ နှိပ်ရန်၊  အဆင့်များစွာနှင့် သတ်မှတ်ထားသော အရာများကို လုပ်ဆောင်ရန် လိုအပ်သည်။

          ESET အနေဖြင့် Telegram ၏ Web Client နှင့် Telegram Desktop တို့တွင် Exploit ကုဒ်ကို စမ်းသပ်ခဲ့ပြီး Payload ကို MP4 ဗီဒီယိုဖိုင်အဖြစ်သာ ထင်မှတ်ယူသောကြောင့် ၎င်းကုဒ်သည် အလုပ်လုပ်ခြင်း မရှိပါ။

          Telegram ၏ Version 10.14.5 တွင် ပြင်ဆင်ထားမှုကြောင့် ယခုအခါ Preview တွင် APK ဖိုင်အနေဖြင့်သာ ပြသပြီး လက်ခံရရှိသူများအနေဖြင့် ဗီဒီယိုဖိုင်အဖြစ်ပေါ်မည့် လှည့်စားမှုမျိုး ရှိနိုင်တော့မည် မဟုတ်ပါ။

          အကယ်၍ သင့်အနေဖြင့် မကြားသေးမီက ဗီဒီယိုဖိုင်များ လက်ခံရရှိခဲ့ပြီး Telegram မှတစ်ဆင့် ပြင်ပ App တစ်ခုဖြင့် ဗီဒီယိုဖွင့်ရန် တောင်းဆိုခံခဲ့ရပါက မိုဘိုင်းလုံခြုံရေးဆော့ဖ်ဝဲလ် တစ်ခုခုဖြင့် ဖိုင်စနစ်အား စစ်ဆေးခြင်း ဆောင်ရွက်ရန်နှင့် သင့်ဖုန်းမှ Payload ဖိုင်များအား ဖယ်ရှားရန် ဖြစ်ပါသည်။

          ပုံမှန်အားဖြင့် Telegram ဗီဒီယိုဖိုင်များသည် “/storage/emulated/0/Telegram/Telegram Video/” (internal storage) သို့မဟုတ် “/storage/<SD Card ID>/Telegram/Telegram Video/” (external storage) တို့တွင် သိမ်းဆည်းပါသည်။

          ESET အနေဖြင့် Telegram Zero-day Exploit အလုပ်လုပ်ပုံကို သရုပ်ပြထားသည့် ဗီဒီယိုအား မျှဝေထားပြီး အောက်တွင် ကြည့်ရှုနိုင်ပါသည်-

https://www.youtube.com/watch?v=8mdW3MWoeFI

Telegram ၏ ပြောရေးဆိုခွင့်ရှိသူတစ်ဦးက BleepingComputer သို့ Exploit ကုဒ်နှင့်ပတ်သက်သည့် အောက်ပါအခြေအနေများအား ပေးပို့လာပါသည်-

          ဤ Exploit သည် Telegram ရှိ လုံခြုံရေးအားနည်းချက်မဟုတ်ပါ။ ဗီဒီယိုကို ဖွင့်ရန် Android လုံခြုံရေး Setting များကို ချိန်ညှိပြီးနောက် သံသဖြစ်ဖွယ် “မီဒီယာ App” ကို အသုံးပြုသူများက ကိုယ်တိုင် ထည့်သွင်းရန် လိုအပ်ပါသည်။

          မိမိတို့အနေဖြင့် ဤ Exploit နှင့်ပတ်သက်သည့် အစီရင်ခံစာကို ဇူလိုင် ၅ ရက်နေ့တွင် လက်ခံရရှိပြီး သုံးစွဲသူများအား Telegram ၏ ဗားရှင်းတိုင်းတွင် ကာကွယ်ရန်အတွက် ဆာဗာဘက်ခြမ်း၌ ပြင်ဆင်မှုများ လုပ်ဆောင်ပြီး ဖြစ်ပါသည်။

Bill Toulas “Telegram zero-day allowed sending malicious Android APKs as videos” ကို ဘာသာပြန်ဆိုသည်။