CYBERDOSSIERNon classé

ESET découvre un exploit nommé EvilVideo : Réfléchissez avant de lire une vidéo sur Telegram pour Android

Photo de ACM_Prod_Blogger_Koffi ACM_Prod_Blogger_Koffi1 août 2024
0 10 Moins d’une minute
ESET découvre un exploit nommé EvilVideo : Réfléchissez avant de lire une vidéo sur Telegram pour Android

Les chercheurs de ESET ont découvert un exploit zero-day Telegram pour Android qui permet d’envoyer des fichiers malveillants déguisés en vidéos.

Les chercheurs d’ESET ont découvert un exploit zero-day ciblant l’application Telegram sur Android. Selon eux, cet exploit a été mis en vente à un prix non spécifié dans un message sur un forum clandestin datant du 6 juin 2024. Baptisée EvilVideo, cette vulnérabilité permet aux attaquants de diffuser des charges utiles malveillantes sur Android via les canaux, groupes et chats individuels de Telegram, en les masquant sous forme de fichiers multimédias.

“Nous avons pu localiser un exemple de l’exploit, ce qui nous a permis de l’analyser plus en détail et de le signaler à Telegram le 26 juin 2024. Le 11 juillet, ils ont publié une mise à jour qui corrige la vulnérabilité dans les versions 10.14.5 et supérieures de Telegram“, ont-ils déclaré.

Figure 1. Explication de la vulnérabilité EvilVideo

Points clés du billet de blog :

  • Le 26 juin 2024, dans un forum underground, une publicité pour un exploit zero-day ciblant Telegram pour Android a été découverte. La vulnérabilité qu’il exploite a été nommée EvilVideo et elle a été signalée à Telegram ; leur équipe l’a corrigée le 11 juillet 2024 

  • EvilVideo permet aux attaquants d’envoyer des charges utiles malveillantes qui apparaissent sous forme de fichiers vidéo dans Telegram non corrigé pour Android

  • L’exploit ne fonctionne que sur les versions Android Telegram 10.14.4 et antérieures.

Découverte

Figure 2. Publication sur un forum underground

Figure 2. Publication sur un forum underground

Dans cette publication, le vendeur montre des captures d’écran et une vidéo de test de l’exploit sur un canal Telegram public. Avec cette publication, ESET a pu identifier le canal en question, l’exploit étant toujours disponible. Ce qui a permis de mettre la main sur la charge utile et de la tester.

Analyse

Selon l’analyse des experts de ESET, l’exploit a révélé qu’il fonctionne sur les versions 10.14.4 et antérieures de Telegram. À en croire leur explication, la charge utile spécifique est très probablement conçue à l’aide de l’API Telegram, car elle permet aux développeurs de télécharger des fichiers multimédias spécialement conçus sur des chats ou des canaux Telegram par programmation.

Par ailleurs, l’exploit semble s’appuyer sur la capacité de l’acteur malveillant à créer une charge utile qui affiche une application Android sous forme d’aperçu multimédia et non sous forme de pièce jointe binaire. Une fois partagée dans le chat, la charge utile malveillante apparaît sous la forme d’une vidéo de 30 secondes (Figure 3).

Figure 3. Exemple d'exploit

Figure 3. Exemple d’exploit

Par défaut, les fichiers multimédias reçus via Telegram sont configurés pour être téléchargés automatiquement. Cela signifie que les utilisateurs ayant activé l’option téléchargeront automatiquement la charge malveillante une fois qu’ils auront ouvert la conversation dans laquelle elle a été partagée. L’option peut être désactivée manuellement. Dans ce cas, la charge utile peut toujours être téléchargée en appuyant sur le bouton de téléchargement dans le coin supérieur gauche de la vidéo partagée, comme le montre la figure 3.

Quand l’utilisateur tente de lire la « vidéo », Telegram affiche un message indiquant qu’il ne peut pas la lire et suggère d’utiliser un lecteur externe (voir Figure 4). Il s’agit d’un avertissement Telegram original que nous avons trouvé dans le code source de l’application légitime Telegram pour Android ; il n’a pas été conçu et diffusé par la charge utile malveillante.

Figure 4. Avertissement de Telegram indiquant qu'il ne peut pas lire la « vidéo »

Figure 4. Avertissement de Telegram indiquant qu’il ne peut pas lire la « vidéo »

Cependant, si l’utilisateur appuie sur le bouton Ouvrir dans le message affiché, il lui sera demandé d’installer une application malveillante déguisée en lecteur externe susmentionné. Comme le montre la figure 5, avant l’installation, Telegram demandera à l’utilisateur d’autoriser l’installation d’applications inconnues.

Figure 5. Telegram demande à l'utilisateur de l'autoriser à installer des applications inconnues

Figure 5. Telegram demande à l’utilisateur de l’autoriser à installer des applications inconnues

À ce stade, l’application malveillante en question a déjà été téléchargée sous la forme d’un fichier vidéo apparent, mais avec l’extension .apk. Il est intéressant de noter que c’est la nature de la vulnérabilité qui fait que le fichier partagé ressemble à une vidéo. L’application malveillante en elle-même n’a pas été modifiée pour se faire passer pour un fichier multimédia, ce qui suggère que le processus de téléchargement a très probablement été exploité. Malheureusement, ESET n’a pas pu reproduire l’exploit, mais seulement inspecter et vérifier l’échantillon partagé par le vendeur.

Figure 6. Demande d'installation d'une charge utile malveillante, détectée comme AndroidSpy.SpyMax.T après exploitation

Figure 6. Demande d’installation d’une charge utile malveillante, détectée comme Android/Spy.SpyMax.T après exploitation

Telegram Web et Desktop

Même si la charge utile a été conçue uniquement pour cibler Telegram pour Android, les chercheurs ont quand même essayé de tester son comportement sur d’autres clients Telegram. Le test a été effectué à la fois au niveau du client Web Telegram et le client de bureau Telegram pour Windows. En conclusion à ce test, l’exploit n’a fonctionné sur aucun des deux. Dans le cas de Telegram Web, après avoir essayé de lire la « vidéo », le client a affiché un message d’erreur indiquant d’essayer d’ouvrir la vidéo avec l’application de bureau à la place (voir Figure 7). Le téléchargement manuel du fichier joint a révélé que son nom et son extension étaient Teating.mp4. Bien que le fichier lui-même soit en fait un binaire exécutable Android (APK), Telegram le traitant comme un fichier MP4 a empêché l’exploit de fonctionner : pour qu’il réussisse, la pièce jointe aurait dû avoir l’extension .apk.

Par ailleurs, un phénomène très similaire s’est produit avec le client Telegram Desktop pour Windows : le fichier téléchargé s’appelait Teating.apk.mp4, il s’agissait donc à nouveau d’un fichier binaire APK avec une extension .mp4. Cela suggère que même si un attaquant créait un exécutable Windows à utiliser à la place de l’APK Android, il serait toujours traité comme un fichier multimédia et l’exploit ne fonctionnerait pas.

Figure 7. Message d'erreur de Telegram Web lors du déclenchement de l'exploit

Figure 7. Message d’erreur de Telegram Web lors du déclenchement de l’exploit

Acteur de menace

Bien qu’ils ne sachent pas grand-chose sur l’acteur de la menace, les experts de ESET ont réussi à trouver un autre service douteux qu’il fournit en se basant sur le pseudo Telegram que le vendeur a partagé dans son message sur le forum. En plus de l’exploit, des vendeurs cybercriminels utilisent le même forum clandestin pour faire la publicité d’un cryptor-as-a-service android qu’ils prétendent être totalement indétectable (FUD) depuis le 11 janvier 2024.

Figure 8. Publication sur un forum underground faisant la promotion d'un cryptor-as-a-service Android

Figure 8. Publication sur un forum underground faisant la promotion d’un cryptor-as-a-service Android

Rapport de vulnérabilité

Après avoir découvert la vulnérabilité EvilVideo le 26 juin 2024, les chercheurs de ESET ont suivi la politique de divulgation coordonnée d’ESET pour signaler la vulnérabilité à Telegram. Mais, ils n’ont pu avoir de réponse à l’époque. Mesurant l’incident que cet exploit EvilVideo peut créer, les chercheurs ESET ont à nouveau signalé la vulnérabilité le 4 juillet 2024 dernier. En réponse, Telegram a confirmé que son équipe est entrain d’enquêter sur EvilVideo. Ils ont ainsi résolu le problème, livré la version 10.14.5 le 11 juillet et en ont informé ESET par e-mail.

Selon la correction effectuée par Telegram, les chercheurs ESET expliquent que la vulnérabilité a affecté toutes les versions de Telegram pour Android jusqu’à la version 10.14.4. Mais a été corrigée à partir de la version 10.14.5 comme ils l’ont vérifié. L’aperçu multimédia du chat affiche désormais correctement que le fichier partagé est une application (Figure 9) et non une vidéo.

Figure 9. Chat de la version 10.14.5 de Telegram affichant correctement la nature du fichier binaire partagé

Figure 9. Chat de la version 10.14.5 de Telegram affichant correctement la nature du fichier binaire partagé

Conclusion

Les chercheurs ESET ont découvert une faille zero-day Telegram pour Android en vente sur un forum clandestin. Une vulnérabilité qui permet d’envoyer des charges utiles malveillantes qui ressemblent à des fichiers multimédias via le chat Telegram. Si un utilisateur essaie de lire la vidéo apparente, il recevra une demande d’installation d’une application externe qui installe en fait la charge utile malveillante. Heureusement, la vulnérabilité a été corrigée le 11 juillet 2024, après que ESET l’a signalé à Telegram.

Source : ESET
Tags
Photo de ACM_Prod_Blogger_Koffi ACM_Prod_Blogger_Koffi1 août 2024
0 10 Moins d’une minute
Photo de ACM_Prod_Blogger_Koffi

ACM_Prod_Blogger_Koffi

Articles similaires

ARTCI

Protection des données en Côte d’Ivoire: L’ARTCI lance deux appels d’offres pour la réalisation d’un HACKATHON et une conférence internationale

2 octobre 2023
whatsapp_image_2020-04-09_at_08

Multiples vulnérabilités dans Nagios XI

9 avril 2020
forum_arabe_sur_la_cybersecurite 2023

Forum Arabe sur la Cybersécurité : Des perspectives communes pour un futur numérique Sécurisé

7 décembre 2023
Lutte contre la désinformation au Sahel : L'AES envisage la création d’une web TV

Lutte contre la désinformation au Sahel : L’AES envisage la création d’une web TV

28 août 2024

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
pashagamingpashagaming girişpashagaming güncel girişholiganbetholiganbet girişholiganbet güncel girişbetsmovebetsmove girişbetsmove güncel girişnitrobahisnitrobahis girişkralbetkralbet girişgalabetgalabet girişgalabet güncel girişvaycasinovaycasino giriştrendbettrendbet giriştrendbet güncel girişbetasusbetasus girişbetasus güncel girişlunabetcasibomcasibom girişcasibom güncel girişmarsbahismarsbahis girişmarsbahis güncel girişonwinonwin girişonwin güncelmeritkingMeritking girişMeritking güncel girişholiganbetholiganbet girişholiganbetholiganbet girişkralbetkralbet girişonwinonwin girişonwin güncelbetasusbetasus girişbetasus güncel girişbetasusbetasus girişbetasus güncel giriştipobettipobet giriştipobet günceltipobettipobet giriştipobet güncelonwinonwin girişonwinonwin girişonwinonwin giriştipobettipobet girişonwinonwin girişonwin güncelonwinonwin girişonwin güncelmariobetmariobet girişmariobet güncelbets10bets10 girişmeritkingmeritking girişmeritking güncel girişmeritkingmeritking girişmeritking güncel girişmeritkingmeritking girişmeritking güncel girişmeritkingmeritking girişmeritking güncel girişfenomenbetfenomenbet girişbahiscasinobahiscasino girişnesinecasinonesinecasino girişjojobetjojobet girişjojobet güncel girişjojobetjojobet girişjojobet güncel girişbetovisbetovis girişmeritkingmeritking girişmeritking güncel girişgoogle hit botuhit botorganik hit botuvaycasinovaycasino girişvaycasino güncel girişpiabellacasinopiabellacasino girişmeritkingmeritking girişmeritking güncel girişmeritbetmeritbet girişmeritbet güncel girişmarsbahismarsbahis güncel girişmarsbahis girişenbetenbet girişkalitebetkalitebet giriştambettambet girişbetofficebetoffice girişbetoffice güncel girişmavibetmavibet girişmavibet güncel girişcasiveracasivera girişbetsmovebetsmove güncel girişbetsmove girişMeritkingMeritking girişMeritking güncel girişistanbul escortkadıköy escortescort kızlarjojobetjojobet girişjojobetjojobet girişcasiveracasivera girişextrabetextrabet giriştambettambet girişmeybetmeybet girişbetciobetcio girişbetcio güncel girişmeybetmeybet girişjokerbetjokerbet girişjokerbet güncel girişlunabetmeritbetmeritbet girişmeritbet güncel girişbettiltbettilt girişjojobetjojobet girişavrupabetavrupabet girişavrupabet güncel girişceltabetceltabet girişceltabet güncel girişbetzulabetzulapashagamingpashagaming girişpashagaming güncel girişbetzula girişparmabetparmabet girişmavibetmavibet girişmavibet güncel girişholiganbetholiganbet güncel girişholiganbet girişultrabetultrabet girişultrabet güncel girişkralbetkralbet girişkralbetkralbet girişkralbetkralbet giriştimebettimebet giriştipobettipobet girişvegabetvegabet girişmaltbahismaltbahis girişfenomenbetfenomenbet girişvaycasinovaycasino girişlunabetlunabet giriştrendbettrendbet giriştrendbet güncel girişmarsbahismarsbahis girişmarsbahis güncel girişimajbetimajbet girişimajbet güncel girişextrabetextrabet girişcasibomcasibom girişnakitbahisnakitbahis girişnakitbahis güncel girişibizabetibizabet girişibizabet güncel girişcasibomcasibom girişcasibom güncel girişjojobetjojobet girişjojobetjojobet girişbetpasbetpas girişbetpas telegramcasino levantcasino levant güncelcasino levant girişcasino levantcasino levant girişcasino levantcasino levantcasino levant güncelcasino levantmarsbahismarsbahis girişmarsbahis güncel girişlunabetlunabet girişlunabet telegramnakitbahisnakitbahis girişnakitbahis telegramjojobetjojobet girişjojobetjojobet girişmeritkingmeritking girişvaycasinovaycasino girişparmabetparmabet girişatlasbetatlasbet girişatlasbet güncel girişbetciobetcio girişbetcio güncel girişpadişahbetpadişahbet girişenbetenbet girişmilosbetmilosbet girişbetzulabetzula girişbetzula güncel girişfenomenbetfenomenbet giriştambettambet giriştimebettimebet girişbetzulabetzula girişbetzula güncel girişpashagamingpashagaming girişpashagaming güncel girişmegabahismegabahis girişcasiveracasivera girişparmabetparmabet girişavrupabetavrupabet girişavrupabet güncel girişbetciobetcioibizabetibizabet girişkralbetkralbet girişultrabetultrabet girişjojobetjojobet girişcasibomcasibom girişbovbetbovbet girişbetnanobetnano girişextrabetextrabet girişextrabet güncel girişbetciobetcio girişbetcio güncel girişgalabetgalabet girişgalabet güncel girişnakitbahisnakitbahis girişnakitbahis güncel girişextrabetextrabet girişextrabet güncel girişimajbetimajbet girişvaycasinovaycasino girişvegabetvegabet girişcasibomcasibom girişcasibom güncel girişcasibomcasibom girişcasibom güncel girişonwinonwin girişonwin güncelmavibetmavibet girişnakitbahisnakitbahis girişpusulabetpusulabet girişpusulabetelexbetelexbet girişbetasusbetasus girişcasinolevantcasino levantcasinolevant girişcasinolevant güncelcasinolevant2026casino levantcasinolevantcasinolevant girişcasino levantcasinolevantcasinolevant girişcasino levantcasino levantcasinolevant girişcasinolevant güncelcasinolevant girişcasino levantcasinolevant günceloslobetoslobet girişoslobet güncel girişvevobahisbetzulabetzulabetzula girişegebetegebet girişegebet güncel girişlunabetlunabet girişlunabet güncel girişjojobetjojobet girişjojobet güncel girişlunabetlunabet girişlunabet güncel girişmilanobetmilanobet girişhitbetholiganbetholiganbet girişholiganbet güncel girişatlasbetatlasbet girişatlasbet güncel girişikimisliikimisli girişikimisli güncelenbetenbet girişenbetenbet girişnakitbahisnakitbahis girişnakitbahis günceljojobetjojobet girişmeritkingenbetenbet girişhitbethitbet güncelhitbet girişextrabetextrabet girişonwinonwin girişonwin güncelcasinolevantcasino levantlevantcasinolevant casino girişcasino levant girişlevantcasino girişbetasusbetasus girişbetasus telegramenbetenbet giriştambettambet girişkalitebetkalitebet girişjojobetjojobet girişnakitbahisnakitbahis girişrestbetrestbet girişrestbet güncel girişrestbetrestbet girişrestbet güncel girişbetofficebetoffice girişbetoffice telegramrealbahisrealbahis girişrealbahis telegramcasibomcasibom girişmeritkingmeritking girişpusulabetpusulabet girişpusulabet güncel girişkavbetkavbet girişkavbet güncek girişholiganbetholiganbet girişholiganbet güncel girişkavbetkavbet girişkavbet güncel girişhilbethilbet girişhilbet güncel girişvaycasinovaycasino girişbetgitbetgit girişbetgit güncel girişholiganbetholiganbet girişbetciobetcio girişbetcio güncel girişbetzulabetzula girişbetzula güncel girişbetzulabetzula girişbetzula güncel girişavrupabetavrupabet girişavrupabet güncel girişbetsmovebetsmove girişbetsmove güncel girişkralbetkralbet girişpashagamingpashagaming girişpashagagaming güncel girişkingroyalkingroyal girişkingroyal güncel girişrestbetrestbete girişrestbet güncel girişenbetenbet girişalmanbahisalmanbahis girişalmanbahis güncel girişcasiveracasivera girişextrabetextrabet girişextrabet güncel girişnakitbahispiabellacasinopiabellacasino girişkalitebetkalitebet girişjojobetjojobet girişjojobet güncel girişjojobetjojobet girişjojobet güncel girişcasinoroyalcasinoroyal girişbetplaybetplay girişbetplay güncel girişmeritkingmaltbahismaltbahis girişenbetenbet girişnakitbahisnakitbahis girişnakitbahis güncel girişjojobetjojobet girişjojobet güncel girişbetnanobetnano girişbetnano güncel girişmaltbahismaltbahis girişmaltbahis girişqueenbetqueenbet girişqueenbet güncel girişjojobetjojobet girişjojobet güncel girişholiganbetholiganbet girişholiganbet güncel girişnakitbahisnakitbahis girişnakitbahis güncel girişnakitbahisnakitbahis girişnakitbahis güncel girişmeritkingmeritking girişmeritkingmeritkingbetsmovebetsmove girişbetsmove güncel girişholiganbetholiganbet girişholiganbet güncel girişbetnanobetnano girişbetnano güncel girişvaycasinovaycasino girişkingroyalkingroyal girişkavbetkavbet girişsuperbetinsuperbetin girişsüperbetinizmit escortkocaeli escortgebze escortbetnanobetnano girişbetnano güncel girişizmit escortkocaeli escortgebze escortizmit escortkocaeli escortgebze escortizmit escortkocaeli escortgebze escortgrandbettinggrandbetting girişgrandbetting güncel girişizmit escortkocaeli escortgebze escortmavibetmavibet girişmavibet güncel girişmeritbetgrandpashabetgrandpashabetgrandpashabetgrandpashabetimajbetimajbet girişimajbet güncel girişbetebetbetebet girişbetebet güncel girişmilanobetmilanobet girişmilanobet güncel girişmeritkingmeritking girişmeritking güncel girişmeritkingmeritking girişmeritking güncel girişgrandpashabetgrandpashabet girişmadridbetmadridbet girişjojobetjojobet girişjojobet güncel girişmeritkingmeritking girişptt kargoptt kargo takipptt kargo sorgulamameritbetmeritbet girişjojobetjojobet girişbetplaybetplay girişbetplay güncel girişjojobetjojobet girişjojobet güncel girişbetplaybetplay girişbetplay güncel giriştipobettipobet giriştipobet günceltipobettipobet giriştipobet güncelvaycasinovaycasino girişzirvebetzirvebet girişzirvebet güncel girişgrandpashabetgrandpashagrandpashabet girişbetplaybetplay girişbetplay güncel giriştipobettipobet giriştipobet günceltipobettipobet giriştipobet günceltipobettipobet giriştipobet günceltipobetmarsbahisonwinonwin girişonwin güncelonwinonwin girişbetebetbetebet girişbetebet güncel girişjojobetjojobet girişjojobet güncel girişonwinonwin girişonwin güncelbahiscasinobahiscasino girişpadişahbetpadişahbet girişbahiscasinobahiscasino girişpadişahbetpadişahbet girişmeritkingmeritking girişpiabellacasinopiabellacasino girişpiabellacasino güncel girişmeritkingmadridbetmadridbet girişmadridbet güncel girişmadridbetmadridbet girişmadridbet güncel girişmadridbetmadridbet girişmadridbetmadridbet girişmadridbetmadridbet girişelitcasinoelitcasino girişelitcasino güncel girişcasibomcasibom girişcasibomcasibom girişnakitbahisnakitbahis girişnakitbahis adresjojobetjojobet girişjojobetjojobet girişjojobetjojobet girişvaycasinovaycasino girişjojobetjojobet girişvaycasinovaycasino girişbetebetbetebet girişkralbetkralbet girişholiganbetholiganbetibizabetibizabet girişibizabet güncel girişmatbetartemisbetgrandpashabetgrandpashabet girişelitbahiselitbahis girişbetzulabetzulabetzula girişbetciobetcio girişbetcio güncel girişcasinowoncasinowon girişmarsbahismarsbahis girişmarsbahis güncel girişvegabetvegabet girişbetciobetcio girişbetcio güncel girişavrupabetavrupabet girişavrupabet güncel girişvaycasinovaycasino girişbetasusbetasus girişmeritbetmeritbet girişmeritbet güncel girişbetzulabetzula girişbetzula güncel girişkralbetkralbet girişExtrabetmegabahismegabahis girişmegabahis güncel girişbetasusbetasus girişbetasus güncel girişbetebetbetebet girişbetebet güncel girişrestbetrestbet girişrestbet güncel girişbetebetbetebet girişbetebet güncel girişvaycasinovaycasino girişvaycasino güncel girişparmabetparmabet girişsuperbetinsüperbetinsuperbetin girişnetbahisnetbahis girişmegabahismegabahis girişmegabahis güncel girişhiltonbethiltonbet girişhiltonbet güncel giriştipobettipobet giriştipobet günceltr.ikimisli-girisbu.vipikimislimilanobetmilanobet girişholiganbetholiganbet girişonwinonwin girişonwin güncelmadridbetmadridbet girişmeritbetmeritbet girişlunabetlunabet girişlunabet güncel girişbetsmovebetsmove girişbetsmove güncel girişbetebetbetebet girişkavbetkavbet girişkavbetkavbet girişgalabetgalabet girişvaycasinovaycasino girişjojobetjojobet girişmarsbahismarsbahismarsbahismarsbahis girişmarsbahis girişkavbetkavbet giriş