Уязвимость нулевого дня в мессенджере Telegram обеспечила возможность зломышленникам рассылать вредоносные программы под ОС Android, замаскированные под видеоролики. Уязвимость срабатывала только в версиях Telegram под Android: она позволяла злоумышленникам выдавать файлы APK (инсталляторы приложений под Android) за встроенные видео и в такой форме рассылать их другим пользователям. Telegram не считает это уязвимостью, но пообещал защитить пользователей.

Эксплойт использовал API Telegram для алгоритмического создания сообщения, которое представлялось 30-секундным видео. По умолчанию приложение Telegram под Android автоматически закачивает медиафайлы на устройство, так что адресаты сразу же получали вредоносный файл к себе, стоило им только открыть диалог или чат, куда мнимое видео было загружено. Те, у кого автозагрузка медиаконтента отключена, все равно получали этот файл в случае нажатия на превью.

При попытке проиграть такой «видеоролик» выводилось сообщение о необходимости использовать сторонний плеер. И если пользователь наивно нажимал «открыть», вредоносное содержимое могло активироваться. Правда, о пользователя потребовалось бы выставить в настройках устройства разрешение на установку непроверенных приложений. Необходимость произвести эти операции, естественно, снижает – но, увы, не устраняет полностью – вероятность заражения.