Уязвимость заключалась в использовании так называемой атаки right-to-left override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает направление расположенных далее знаков. Обычно он используется при работе с языками, в которых текст идет справа налево, например, с арабским языком или ивритом. Однако злоумышленники могут его использовать для того, чтобы вводить в заблуждение пользователей: RLO меняет порядок символов в названии файла, а значит, и его расширение. Таким образом жертвы скачивали вредоносное ПО под видом, например, изображения, и сами запускали его, даже не подозревая, что это исполняемый файл.
Эксперты «Лаборатории Касперского» определили несколько целей злоумышленников. Для достижения первой киберпреступники использовали уязвимость для доставки бэкдора. В результате хакеры получали удаленный доступ к компьютеру жертвы. В качестве командного протокола ПО использовало Telegram API. После установки бэкдор работал в скрытом режиме, ничем не обнаруживая себя. При этом он выполнял различные команды злоумышленников, включая дальнейшую установку шпионского ПО.
Вторая цель — уязвимость эксплуатировалась для распространения ПО для майнинга. Используя вычислительные возможности компьютера жертвы, преступники добывали различные криптовалюты, такие как Monero, Zcash, Fantomcoin и другие.
Кроме того, на серверах злоумышленников аналитики обнаружили архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них, кроме исполняемых и служебных файлов приложения, содержал в зашифрованном виде различные материалы пользователя, задействованные в переписке: документы, аудио- и видеозаписи, фотографии.
Артефакты, обнаруженные исследователями, позволяют предположить русскоязычное происхождение преступников. По нашим данным, все случаи эксплуатации уязвимости были зафиксированы в России.
«Популярность мессенджеров сегодня невероятно высока. Поэтому разработчикам очень важно обеспечивать надежную защиту пользователей, чтобы те не стали легкой мишенью для преступников. Мы нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем в течение всего периода «криптовалютного бума». Не исключено, что были и другие, более таргетированные сценарии использования этой уязвимости», — отметил Алексей Фирш, антивирусный эксперт «Лаборатории Касперского».