ESET découvre EvilVideo, une faille zero-day sur Telegram Android

0
  • Un exploit zero-day ciblant Telegram Android a été repéré par ESET Research sur un forum clandestin.

  • La vulnérabilité, baptisée « EvilVideo » par ESET, a été signalée à Telegram qui a corrigé le problème dans une mise à jour le 11 juillet 2024.

  • EvilVideo permet la diffusion de logiciels malveillants déguisés en fichiers vidéo via l’ancienne version de Telegram Android.

  • L’exploit affecte uniquement les versions 10.14.4 et antérieures de Telegram pour Android.

La-Femme (ESET) – En juin 2024, les chercheurs d‘ESET ont identifié un exploit zero-day visant Telegram Android, proposé à la vente sur un forum clandestin. Cette faille, baptisée « EvilVideo », permet aux pirates de diffuser des logiciels malveillants Android sous l’apparence de fichiers multimédias via les différents canaux de communication de Telegram.

« L’exploit a été repéré en vente sur un forum clandestin, accompagné de preuves visuelles de son fonctionnement sur une chaîne Telegram publique. Les chercheurs ont localisé cette chaîne, où l’exploit était encore actif, leur permettant d’obtenir et de vérifier la charge utile malveillante. », explique Lukáš Štefanko, chercheur chez ESET, qui a découvert l’exploit Telegram.

L’analyse des chercheurs d‘ESET révèle que l’exploit affecte Telegram Android versions 10.14.4 et antérieures. Il exploite probablement l’API Telegram pour télécharger des fichiers malveillants déguisés en contenus multimédias. L’attaquant parvient à présenter une application Android malveillante comme un aperçu multimédia plutôt qu’une pièce jointe binaire. Dans les conversations, la charge utile apparaît sous forme d’une vidéo de 30 secondes.

Telegram télécharge par défaut automatiquement les fichiers multimédias reçus. Ainsi, les utilisateurs n’ayant pas modifié ce paramètre téléchargent involontairement la charge utile malveillante en ouvrant la conversation contaminée. Bien que cette option puisse être désactivée manuellement, les utilisateurs restent exposés s’ils choisissent de télécharger la « vidéo » partagée.

Lorsqu’un utilisateur tente de lire la « vidéo » malveillante, Telegram affiche un message d’erreur et propose d’utiliser un lecteur externe. En cliquant sur le bouton « Ouvrir », l’utilisateur est alors invité à installer une application malveillante se faisant passer pour ce lecteur externe.

ESET a découvert la vulnérabilité EvilVideo le 26 juin 2024 et l’a signalée à Telegram sans réponse initiale. Après un second signalement le 4 juillet, Telegram a confirmé enquêter sur le problème. La faille a été corrigée dans la version 10.14.5, publiée le 11 juillet, mettant fin à la vulnérabilité qui affectait toutes les versions Android antérieures.

Pour plus d’informations sur EvilVideo, lisez l’article de blog « Cursed tapes : Exploiting the EvilVideo vulnerability in Telegram for Android » sur WeLiveSecurity.com.

Exemple de la façon dont l’exploit EvilVideo apparaît sur Telegram

À propos d’ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées. Protection des terminaux et des mobiles, détection et traitement des incidents, chiffrement et authentification multifacteur… les solutions performantes et faciles à utiliser d’ESET protègent et supervisent discrètement 24 heures sur 24, 7 jours sur 7, en mettant à jour les défenses en temps réel pour assurer sans aucune interruption la sécurité des utilisateurs et le bon fonctionnement des entreprises. L’évolution des menaces exige d’une entreprise de sécurité informatique qu’elle évolue également. C’est le cas d’ESET grâce à ses centres de R&D dans le monde entier travaillant à la protection de notre avenir commun. Pour plus d’informations, consultez www.eset.com/fr/ ou suivez-nous sur LinkedIn, Facebook et X.