Une vulnérabilité Telegram pour Android zero-day surnommée « Evil Video » a permis aux attaquants d’envoyer des charges utiles APK Android malveillantes déguisées en fichiers vidéo.

Un acteur de la menace nommé « Ancryno » a commencé à vendre l’exploit Telegram zero-day le 6 juin 2024, dans un article sur le forum de piratage russophone XSS, indiquant que la faille existait dans Telegram v10.14.4 et plus ancien.

Les chercheurs d’ESET ont découvert la faille après qu’une démonstration de PoC ait été partagée sur un canal Telegram public, leur permettant d’obtenir la charge utile malveillante.

Acteur menaçant vendant l’exploit sur un forum de piratage

ESET a confirmé que l’exploit fonctionnait dans Telegram v10.14. 4 et plus ancien et l’a nommé ‘ EvilVideo. Lukas Stefanko, chercheur chez ESET, a divulgué de manière responsable la faille à Telegram le 26 juin et à nouveau le 4 juillet 2024.

Telegram a répondu le 4 juillet, déclarant qu’ils enquêtaient sur le rapport, puis corrigeaient la vulnérabilité dans la version 10.14.5, publiée le 11 juillet 2024.

Cela signifie que les acteurs de la menace disposaient d’au moins cinq semaines pour exploiter le jour zéro avant qu’il ne soit corrigé.

Bien qu’il ne soit pas clair si la faille a été activement exploitée dans des attaques, ESET a partagé un serveur de commande et de contrôle (C2) utilisé par les charges utiles à ‘infinityhackscharan.DDNS[.] filet.’

Breachtrace a trouvé deux fichiers APK malveillants utilisant ce C2 sur VirusTotal [1, 2] qui prétendent être un antivirus Avast ou un Mod Premium xHamster.’

Télégramme exploit jour zéro
La faille EvilVideo zero-day ne fonctionnait que sur Telegram pour Android et permettait aux attaquants de créer des fichiers APK spécialement conçus qui, lorsqu’ils sont envoyés à d’autres utilisateurs sur Telegram, apparaissent sous forme de vidéos intégrées.

ESET pense que l’exploit utilise l’API Telegram pour créer par programmation un message qui semble montrer une vidéo de 30 secondes.

Fichier APK prévisualisé sous forme de clip de 30 secondes

Sur son paramètre par défaut, l’application Telegram sur Android télécharge automatiquement les fichiers multimédias, de sorte que les participants à la chaîne reçoivent la charge utile sur leur appareil une fois qu’ils ouvrent la conversation.

Pour les utilisateurs qui ont désactivé le téléchargement automatique, un simple appui sur l’aperçu vidéo suffit pour lancer le téléchargement du fichier.

Lorsque les utilisateurs tentent de lire la fausse vidéo, Telegram suggère d’utiliser un lecteur externe, ce qui peut amener les destinataires à appuyer sur le bouton « Ouvrir » et à exécuter la charge utile.

Invite pour lancer un lecteur vidéo externe

Ensuite, une étape supplémentaire est requise: la victime doit activer l’installation d’applications inconnues à partir des paramètres de l’appareil, permettant au fichier APK malveillant de s’installer sur l’appareil.​

Étape nécessitant l’approbation de l’installation de l’APK

Bien que l’auteur de la menace affirme que l’exploit est « en un clic », le fait qu’il nécessite plusieurs clics, étapes et paramètres spécifiques pour qu’une charge utile malveillante soit exécutée sur l’appareil d’une victime réduit considérablement le risque d’une attaque réussie.

ESET a testé l’exploit sur le client Web et le bureau Telegram de Telegram et a constaté que cela ne fonctionnait pas là-bas car la charge utile est traitée comme un fichier vidéo MP4.

Le correctif de Telegram dans la version 10.14.5 affiche désormais correctement le fichier APK dans l’aperçu, de sorte que les destinataires ne peuvent plus être trompés par ce qui apparaîtrait comme des fichiers vidéo.

Si vous avez récemment reçu des fichiers vidéo demandant la lecture d’une application externe via Telegram, effectuez une analyse du système de fichiers à l’aide d’une suite de sécurité mobile pour localiser et supprimer les charges utiles de votre appareil.

En règle générale, les fichiers vidéo Telegram sont stockés dans ‘/ storage / emulated / 0 / Telegram / Telegram Video/ ‘ (stockage interne)ou dans ‘/storage/ < ID de la carte SD> / Telegram / Telegram Video / ‘ (stockage externe).

ESET a partagé une vidéo démontrant l’exploit Telegram zero-day, qui peut être visionnée ci-dessous.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *