Новая угроза для пользователей Android: эксплойт EvilLoader атакует через Telegram
В 2025 году киберугрозы становятся все более изощренными, и новая атака под названием EvilLoader (CVE-2024-7014) подтверждает это. Исследователи в области информационной безопасности обнаружили, что злоумышленники активно распространяют вредоносный код среди пользователей Telegram на Android.
Как работает атака?
Киберпреступники используют поддельные видеофайлы, которые на первый взгляд выглядят как обычные медиафайлы. Однако на самом деле в них скрывается файл с расширением .htm, замаскированный под видео.
Механика атаки:
- Пользователь получает файл через Telegram и пытается его открыть.
- Приложение выводит сообщение: «Приложение не может воспроизвести это видео» и предлагает попробовать открыть его в браузере.
- Если пользователь соглашается, браузер перенаправляет его на фальшивую страницу Google Play.
- На поддельном сайте предлагается загрузить приложение, которое на самом деле является вредоносным ПО.
- В результате злоумышленники получают либо полный контроль над устройством жертвы, либо как минимум её IP-адрес.
Таким образом, атака происходит незаметно для пользователя, и достаточно лишь одного неосторожного действия — попытки открыть видеофайл.
Продолжение старой угрозы или новый уровень кибератак?
EvilLoader считается развитием эксплойта EvilVideo, который был обнаружен летом 2024 года. Тогда Telegram оперативно устранил уязвимость, но новая версия атаки пока остается активной и работает на актуальной версии Telegram для Android (v11.7.4).
По данным исследователя под ником 0x6rss, вредоносный код .htm впервые появился на киберпреступных форумах 15 января 2025 года. Эксплойт активно продается и используется в атаках, что делает проблему еще более серьезной.
Почему это опасно?
Telegram — один из самых популярных мессенджеров, а Android — доминирующая мобильная платформа. Это делает EvilLoader очень массовой угрозой.
Фальшивая страница Google Play выглядит правдоподобно, и даже продвинутые пользователи могут попасться на уловку.
Захват IP-адреса может привести к дальнейшим атакам, включая фишинг, DDoS или даже физическое преследование (doxing).
Как защититься?
Так как патч от разработчиков Telegram пока не выпущен, пользователи должны самостоятельно принять меры предосторожности:
- Отключите установку неизвестных приложений через браузер. Откройте Настройки Android → Приложения → Специальный доступ → Установка неизвестных приложений. Выберите браузер по умолчанию. Отключите «Разрешить установку из этого источника».
- Не открывайте подозрительные видеофайлы в Telegram, особенно если они требуют запуска в браузере.
- Обновляйте Telegram до последней доступной версии, чтобы минимизировать риски.
Фон: Telegram, безопасность и новые реалии 2025 года
Стоит отметить, что в августе 2024 года основатель Telegram Павел Дуров был задержан во Франции по обвинению в недостаточных мерах борьбы с незаконной активностью на платформе. После этого Telegram ужесточил условия использования: теперь мессенджер может передавать IP-адреса и номера телефонов пользователей правоохранительным органам по запросу.
В связи с этим пользователи Telegram сталкиваются с двойным вызовом:
- с одной стороны, новые киберугрозы, такие как EvilLoader, делают использование платформы опасным;
- с другой стороны, усиленный контроль и передача данных правоохранителям вызывают вопросы о конфиденциальности.
Атака EvilLoader — очередное напоминание о том, что даже привычные платформы могут стать инструментом киберпреступников. Внимательность, регулярные обновления и базовые меры безопасности помогут минимизировать риски. Пока Telegram не выпустил исправление, пользователи должны проявлять осторожность и избегать открытия подозрительных файлов.
Ранее на сайте Пронедра» писали, что опасный вирус NFCGate угрожает Android-устройствам в России: как защитить свои данные
