Vulnérabilité Telegram : les fausses vidéos sont utilisées pour installer des malwares sur Android

En juin dernier, les chercheurs d'ESET ont identifié un exploit zero-day visant Telegram Android, proposé à la vente sur un forum clandestin. Cette faille, baptisée "EvilVideo", permet aux pirates de diffuser des logiciels malveillants Android sous l'apparence de fichiers multimédias via les différents canaux de communication de Telegram.

L'analyse des chercheurs d‘ESET révèle que l'exploit affecte Telegram Android versions 10.14.4 et antérieures. Il exploite probablement l'API Telegram pour télécharger des fichiers malveillants déguisés en contenus multimédias. L'attaquant parvient à présenter une application Android malveillante comme un aperçu multimédia plutôt qu'une pièce jointe binaire. Dans les conversations, la charge utile apparaît sous forme d'une vidéo de 30 secondes.

Telegram télécharge par défaut automatiquement les fichiers multimédias reçus. Ainsi, les utilisateurs n'ayant pas modifié ce paramètre téléchargent involontairement la charge utile malveillante en ouvrant la conversation contaminée. Bien que cette option puisse être désactivée manuellement, les utilisateurs restent exposés s'ils choisissent de télécharger la "vidéo" partagée.

Lorsqu'un utilisateur tente de lire la "vidéo" malveillante, Telegram affiche un message d'erreur et propose d'utiliser un lecteur externe. En cliquant sur le bouton "Ouvrir", l'utilisateur est alors invité à installer une application malveillante se faisant passer pour ce lecteur externe.

• ESET a découvert la vulnérabilité EvilVideo le 26 juin 2024 et l'a signalée à Telegram sans réponse initiale. Après un second signalement le 4 juillet, Telegram a confirmé enquêter sur le problème. La faille a été corrigée dans la version 10.14.5, publiée le 11 juillet, mettant fin à la vulnérabilité qui affectait toutes les versions Android
• antérieures.