Una vulnerabilidad descubierta en la popular aplicación de mensajería móvil Telegram, permitía a ciberdelincuentes instalar malware de minería de criptomonedas en los equipos de los usuarios. De esta forma, se aprovechaban de la potencia y los recursos de las víctimas para crear diferentes tipos de criptomonedas, como Monero, Zcash o Fantomcoin. Así lo ha desvelado la firma de seguridad Kaspersky Lab, tras una investigación realizada.
El fallo de seguridad se trata de una vulnerabilidad zero-day, lo que quiere decir que ha estado presente en la aplicación desde hace un tiempo indeterminado pero no había sido descubierta hasta ahora. Durante ese tiempo, estos agujeros de seguridad pueden ser aprovechados para realizar ciberataques, hasta que se descubre y se solventa el fallo que lo provoca, como ha sido el caso de Telegram. El aprovechamiento de esa vulnerabilidad durante ese tiempo en el que aún no ha sido detectada, se denomina explotación in the Wild.
Además de instalar el malware para minar criptomonedas, los investigadores han descubierto que se usó la vulnerabilidad para instalar un backdoor (puerta trasera) que usaba la API de Telegram como protocolo de Comando&Control. Esto proporcionaba a los ciberdelincuentes un acceso remoto al equipo de la víctima. Después de la instalación, funcionaba en un modo silencioso, lo que permitía que los responsables del ataque pasaran inadvertidos en la red y pudieran instalar herramientas de spyware.
La vulnerabilidad ya está solucionada
Según explica la investigación, los ciberdelincuentes «utilizaron un carácter oculto Unicode en el nombre de archivo que invierte el orden de los caracteres, dando otro nombre al propio archivo. Como resultado, los usuarios descargaron malware oculto que luego se instala en sus equipos».
Ahora, los usuarios ya no tienen que preocuparse por este fallo; la compañía informó del descubrimiento a Telegram y la vulnerabilidad zero-day se ha solucionado.
Según apunta la investigación, el zero-day que afectaba a la aplicación Telegram se basaba en el método Unicode de RLO (right-to-left-override), que se usa habitualmente para codificar idiomas que se escriben de derecha a izquierda, como el árabe o hebreo. «Además, también puede utilizarse por los creadores de malware para inducir a los usuarios a la descarga de archivos maliciosos disfrazados, por ejemplo, como imágenes», explican desde la firma de seguridad, que señalan que las muestras descubiertas durante la investigación apuntan que el ciberataque tiene orígenes rusos.
Las aplicaciones de mensajería, usadas por millones de usuarios, son foco de ataques por parte de los ciberdelincuentes. El mes pasado, el laboratorio de Kaspersky publicó un informe sobre otra amenaza a una aplicación de mensajería, en ese caso no una puerta trasera sino un troyano, Skygofree, capaz de robar mensajes de WhatsApp.