Эксплойт впервые обнаружил исследователь кибербезопасности 0x6rss (через TechIssuesToday). Мошенники используют этот метод для распространения вредоносного ПО через Telegram, маскируя его под безобидное видео. Пользователей обманывают, предлагая открыть якобы обычный видеоролик, но в файле скрыт вредоносный код с расширением .htm.

При попытке воспроизведения видео появляется сообщение об ошибке "Приложение не смогло воспроизвести этот файл", после чего предлагается открыть его в браузере. Когда браузер запускается, жертве демонстрируют поддельную страницу Google Play, убеждая установить вредоносное ПО, которое может раскрыть IP-адрес и другие данные.

EvilLoader основан на предыдущей уязвимости EvilVideo, обнаруженной прошлым летом и вскоре устраненной. Однако EvilLoader пока остается непатченной даже в последней версии Telegram 11.7.4 и активно используется злоумышленниками. По данным mobile-hacker, расширение .htm продается на подпольных форумах как минимум с 15 января 2025 года.

Стоит отметить, что жертвой этого эксплойта можно стать только в том случае, если на устройстве включена возможность установки приложений из неизвестных источников через браузер.

Чтобы обезопасить себя, пока Telegram не выпустит обновление, зайдите в Настройки, Приложения, Специальный доступ, Установка неизвестных приложений. Там выберите браузер по умолчанию и отключите "Разрешить из этого источника".

