ESET Research a récemment découvert une faille zero-day ciblant les anciennes versions de Telegram pour Android, connue sous le nom d’EvilVideo. Cette vulnérabilité permet aux pirates de diffuser des logiciels malveillants sous forme de fichiers vidéo via Telegram. Identifiée en juin 2024, cette faille a été signalée à Telegram qui a déployé une mise à jour corrective le 11 juillet 2024.
Comment fonctionne EvilVideo ?
En juin 2024, les chercheurs d’ESET ont repéré un exploit zero-day vendu sur un forum clandestin. Cet exploit, nommé EvilVideo, permet aux pirates de diffuser des logiciels malveillants. Ils les déguisent en fichiers multimédias via Telegram. Les versions 10.14.4 et antérieures de Telegram pour Android sont particulièrement vulnérables.
Lukáš Štefanko, chercheur chez ESET, explique : « L’exploit a été repéré en vente sur un forum clandestin accompagné de preuves visuelles de son fonctionnement sur une chaîne Telegram publique. Les chercheurs ont localisé cette chaîne où l’exploit était encore actif, leur permettant d’obtenir et de vérifier la charge utile malveillante. »
Diffusion de logiciels malveillants et réaction de Telegram pour corriger la faille
L’analyse des chercheurs d’ESET révèle que l’exploit exploite l’API Telegram pour télécharger des fichiers malveillants déguisés en contenus multimédias. Dans les conversations, la charge utile apparaît sous forme d’une vidéo de 30 secondes. Telegram télécharge par défaut automatiquement les fichiers multimédias reçus, ce qui expose les utilisateurs à des risques s’ils n’ont pas modifié ce paramètre.
Lorsque l’utilisateur tente de lire la vidéo malveillante, Telegram affiche un message d’erreur et propose d’utiliser un lecteur externe. Lorsqu’il clique sur « Ouvrir« , l’utilisateur est invité à installer une application malveillante qui se fait passer pour ce lecteur externe.
ESET a découvert la vulnérabilité EvilVideo le 26 juin 2024 et l’a signalée à Telegram. Sans réponse initiale, un second signalement a été effectué le 4 juillet. Telegram a ensuite confirmé enquêter sur le problème. La faille a été corrigée dans la version 10.14.5, publiée le 11 juillet pour mettre fin à la vulnérabilité.
Mesures à prendre pour les utilisateurs
Les utilisateurs de Telegram Android doivent vérifier qu’ils utilisent la version 10.14.5 ou une version plus récente. Il est également recommandé de désactiver le téléchargement automatique des fichiers multimédias pour réduire les risques d’infection. Les utilisateurs doivent rester vigilants et éviter de télécharger des fichiers qui proviennent de sources non fiables.
La découverte d’EvilVideo souligne l’importance de maintenir les applications à jour et de rester informé des nouvelles menaces de sécurité. ESET continue de surveiller les forums clandestins pour détecter d’autres vulnérabilités potentielles et travailler avec les entreprises concernées pour sécuriser leurs plateformes.
Article basé sur un communiqué de presse reçu par la rédaction.
