Eksperci z Kaspersky Lab poinformowali o cyberatakach wykorzystujących malware infekującego urządzenia z zainstalowany komunikatorem Telegram. Luka w aplikacji Telegram została wykryta jedynie w wersji przeznaczonej na system Windows, użytkownicy aplikacji mobilnych byli bezpieczni.

Telegram zawierał lukę opartą o tzw. Unicode RLO (czyli odświeżanie od prawej do lewej). Cyberprzestępcy wykorzystali ukryty symbol w nazwie pliku, odwracający kierunek znaków, co pozwoliło na zmianę nazwy pliku. W ten sposób użytkownicy aplikacji Telegram pobierając zdjęcie o nazwie cute kittens, w rzeczywistości pobierali na swój komputer szkodliwe oprogramowanie.

Lukę, aktywną od marca 2017 roku, wykorzystano do dostarczenia szkodliwego oprogramowania, które było wykorzystywane w dwojaki sposób jako backdoor lub narzędzie dostarczające oprogramowania służące do kopania kryowaluty tj. Monero, Zcash i Fantomcoin.

Wykorzystanie luki do instalacji backdoora pozwoliło cyberprzestępcom uzyskanie zdalnego dostępu do komputera ofiary.

Eksperci z Kaspersky Lab zgłosili odkrytą lukę programistom aplikacji Telegram, która została już wyeliminowana.