이석원 기자
사이버 보안 기업 ESET는 메시징 앱 텔레그램 안드로이드 버전에 악의적인 APK 파일을 동영상 파일로 전송할 수 있는 제로데이 취약점이 존재했다고 보고했다.
ESET는 지난 6월 26일 언더그라운드 포럼에서 안드로이드용 텔레그램을 대상으로 하는 익스플로잇이 판매되고 있는 걸 발견했다. ESET는 이 익스플로잇을 이블비디오(EvilVideo)라고 명명했다.
이블비디오를 분석한 결과 이 익스플로잇은 버전 10.14.4 이전 안드로이드용 텔레그램에서 작동하는 것으로 밝혀졌다. 이블비디오는 안드로이드 앱에 바이너리 데이터 파일을 첨부해 안드로이드 텔레그램 앱에 멀티미디어 프리뷰로 표시할 수 있는 취약점을 이용한다. 따라서 이블비디오를 사용해 채팅에서 공유하면 악의적인 페이로드가 30초 동영상으로 표시된다.
기본적으로 텔레그램을 통해 수신된 미디어 파일은 사용자 기기에 자동 다운로드되도록 설정되어 있어 이 채팅을 연 사용자는 악의적인 페이로드를 자동으로 다운로드하게 된다. 또 자동 다운로드를 비활성화한 경우에도 왼쪽 상단 다운로드 버튼을 탭하여 페이로드를 다운로드할 수 있다.
더구나 사용자가 동영상처럼 보이는 이 파일을 재생하려고 하면 텔레그램은 이 동영상을 재생할 수 없다며 외부 플레이어를 사용하겠냐고 묻는다. 오픈(Open)을 탭하면 텔레그램은 사용자에게 알 수 없는 앱 설치를 활성화하도록 요청한다. 활성화하면 외부 플레이어로 위장한 악성 앱을 설치하라는 요청을 받게 된다. 이 악의적인 APK 파일을 설치하면 자신의 기기에 멀웨어 등 앱이 설치되는 것.
ESET에 따르면 이 익스플로잇은 윈도 버전에서는 작동하지 않았다고 한다. ESET는 즉시 이 취약점을 텔레그램에 보고했다. 그 결과 7월 11일 배포된 버전 10.14.5에서는 APK 파일이 채팅에서 공유될 때 멀티미디어 프리뷰에 동영상이 아닌 애플리케이션으로 올바르게 표시되도록 변경됐다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
정용환 기자
