- Un exploit zero-day ciblant Telegram Android a été repéré par ESET Research sur un forum clandestin.
- La vulnérabilité, baptisée "EvilVideo" par ESET, a été signalée à Telegram qui a corrigé le problème dans une mise à jour le 11 juillet 2024.
- EvilVideo permet la diffusion de logiciels malveillants déguisés en fichiers vidéo via l'ancienne version de Telegram Android.
- L'exploit affecte uniquement les versions 10.14.4 et antérieures de Telegram pour Android.
En juin 2024, les chercheurs d‘ESET ont identifié un exploit zero-day visant Telegram Android, proposé à la vente sur un forum clandestin. Cette faille, baptisée "EvilVideo", permet aux pirates de diffuser des logiciels malveillants Android sous l'apparence de fichiers multimédias via les différents canaux de communication de Telegram.
« L'exploit a été repéré en vente sur un forum clandestin, accompagné de preuves visuelles de son fonctionnement sur une chaîne Telegram publique. Les chercheurs ont localisé cette chaîne, où l'exploit était encore actif, leur permettant d'obtenir et de vérifier la charge utile malveillante. », explique Lukáš Štefanko, chercheur chez ESET, qui a découvert l'exploit Telegram.
L'analyse des chercheurs d‘ESET révèle que l'exploit affecte Telegram Android versions 10.14.4 et antérieures. Il exploite probablement l'API Telegram pour télécharger des fichiers malveillants déguisés en contenus multimédias. L'attaquant parvient à présenter une application Android malveillante comme un aperçu multimédia plutôt qu'une pièce jointe binaire. Dans les conversations, la charge utile apparaît sous forme d'une vidéo de 30 secondes.
Telegram télécharge par défaut automatiquement les fichiers multimédias reçus. Ainsi, les utilisateurs n'ayant pas modifié ce paramètre téléchargent involontairement la charge utile malveillante en ouvrant la conversation contaminée. Bien que cette option puisse être désactivée manuellement, les utilisateurs restent exposés s'ils choisissent de télécharger la "vidéo" partagée.
Lorsqu'un utilisateur tente de lire la "vidéo" malveillante, Telegram affiche un message d'erreur et propose d'utiliser un lecteur externe. En cliquant sur le bouton "Ouvrir", l'utilisateur est alors invité à installer une application malveillante se faisant passer pour ce lecteur externe.
ESET a découvert la vulnérabilité EvilVideo le 26 juin 2024 et l'a signalée à Telegram sans réponse initiale. Après un second signalement le 4 juillet, Telegram a confirmé enquêter sur le problème. La faille a été corrigée dans la version 10.14.5, publiée le 11 juillet, mettant fin à la vulnérabilité qui affectait toutes les versions Android antérieures.
Pour plus d'informations sur EvilVideo, lisez l'article complet « Cursed tapes : Exploiting the EvilVideo vulnerability in Telegram for Android » sur WeLiveSecurity.com.
Contact Presse :
Jolya COHOUNDO : +33 07 76 99 70 29 - jolya.c@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.