ESET découvre un exploit nommé EvilVideo : Réfléchissez avant de lire une vidéo sur Telegram pour Android
Les chercheurs de ESET ont découvert un exploit zero-day Telegram pour Android qui permet d'envoyer des fichiers malveillants déguisés en vidéos.
Les chercheurs d'ESET ont découvert un exploit zero-day ciblant l'application Telegram sur Android. Selon eux, cet exploit a été mis en vente à un prix non spécifié dans un message sur un forum clandestin datant du 6 juin 2024. Baptisée EvilVideo, cette vulnérabilité permet aux attaquants de diffuser des charges utiles malveillantes sur Android via les canaux, groupes et chats individuels de Telegram, en les masquant sous forme de fichiers multimédias.
“Nous avons pu localiser un exemple de l'exploit, ce qui nous a permis de l'analyser plus en détail et de le signaler à Telegram le 26 juin 2024. Le 11 juillet, ils ont publié une mise à jour qui corrige la vulnérabilité dans les versions 10.14.5 et supérieures de Telegram“, ont-ils déclaré.
Figure 1. Explication de la vulnérabilité EvilVideo
Points clés du billet de blog :
- Le 26 juin 2024, dans un forum underground, une publicité pour un exploit zero-day ciblant Telegram pour Android a été découverte. La vulnérabilité qu'il exploite a été nommée EvilVideo et elle a été signalée à Telegram ; leur équipe l'a corrigée le 11 juillet 2024
- EvilVideo permet aux attaquants d'envoyer des charges utiles malveillantes qui apparaissent sous forme de fichiers vidéo dans Telegram non corrigé pour Android
- L'exploit ne fonctionne que sur les versions Android Telegram 10.14.4 et antérieures.
Découverte
Figure 2. Publication sur un forum underground
Dans cette publication, le vendeur montre des captures d'écran et une vidéo de test de l'exploit sur un canal Telegram public. Avec cette publication, ESET a pu identifier le canal en question, l'exploit étant toujours disponible. Ce qui a permis de mettre la main sur la charge utile et de la tester.
Analyse
Selon l’analyse des experts de ESET, l'exploit a révélé qu'il fonctionne sur les versions 10.14.4 et antérieures de Telegram. À en croire leur explication, la charge utile spécifique est très probablement conçue à l'aide de l'API Telegram, car elle permet aux développeurs de télécharger des fichiers multimédias spécialement conçus sur des chats ou des canaux Telegram par programmation.
Par ailleurs, l'exploit semble s'appuyer sur la capacité de l'acteur malveillant à créer une charge utile qui affiche une application Android sous forme d'aperçu multimédia et non sous forme de pièce jointe binaire. Une fois partagée dans le chat, la charge utile malveillante apparaît sous la forme d'une vidéo de 30 secondes (Figure 3).
Figure 3. Exemple d'exploit
Par défaut, les fichiers multimédias reçus via Telegram sont configurés pour être téléchargés automatiquement. Cela signifie que les utilisateurs ayant activé l'option téléchargeront automatiquement la charge malveillante une fois qu'ils auront ouvert la conversation dans laquelle elle a été partagée. L'option peut être désactivée manuellement. Dans ce cas, la charge utile peut toujours être téléchargée en appuyant sur le bouton de téléchargement dans le coin supérieur gauche de la vidéo partagée, comme le montre la figure 3.
Quand l’utilisateur tente de lire la « vidéo », Telegram affiche un message indiquant qu’il ne peut pas la lire et suggère d’utiliser un lecteur externe (voir Figure 4). Il s’agit d’un avertissement Telegram original que nous avons trouvé dans le code source de l’application légitime Telegram pour Android ; il n’a pas été conçu et diffusé par la charge utile malveillante.
Figure 4. Avertissement de Telegram indiquant qu'il ne peut pas lire la « vidéo »
Cependant, si l'utilisateur appuie sur le bouton Ouvrir dans le message affiché, il lui sera demandé d'installer une application malveillante déguisée en lecteur externe susmentionné. Comme le montre la figure 5, avant l'installation, Telegram demandera à l'utilisateur d'autoriser l'installation d'applications inconnues.
Figure 5. Telegram demande à l'utilisateur de l'autoriser à installer des applications inconnues
À ce stade, l'application malveillante en question a déjà été téléchargée sous la forme d'un fichier vidéo apparent, mais avec l'extension .apk. Il est intéressant de noter que c'est la nature de la vulnérabilité qui fait que le fichier partagé ressemble à une vidéo. L'application malveillante en elle-même n'a pas été modifiée pour se faire passer pour un fichier multimédia, ce qui suggère que le processus de téléchargement a très probablement été exploité. Malheureusement, ESET n’a pas pu reproduire l'exploit, mais seulement inspecter et vérifier l'échantillon partagé par le vendeur.
Figure 6. Demande d'installation d'une charge utile malveillante, détectée comme Android/Spy.SpyMax.T après exploitation
Telegram Web et Desktop
Même si la charge utile a été conçue uniquement pour cibler Telegram pour Android, les chercheurs ont quand même essayé de tester son comportement sur d’autres clients Telegram. Le test a été effectué à la fois au niveau du client Web Telegram et le client de bureau Telegram pour Windows. En conclusion à ce test, l’exploit n’a fonctionné sur aucun des deux. Dans le cas de Telegram Web, après avoir essayé de lire la « vidéo », le client a affiché un message d’erreur indiquant d’essayer d’ouvrir la vidéo avec l’application de bureau à la place (voir Figure 7). Le téléchargement manuel du fichier joint a révélé que son nom et son extension étaient Teating.mp4. Bien que le fichier lui-même soit en fait un binaire exécutable Android (APK), Telegram le traitant comme un fichier MP4 a empêché l’exploit de fonctionner : pour qu’il réussisse, la pièce jointe aurait dû avoir l’extension .apk.
Par ailleurs, un phénomène très similaire s'est produit avec le client Telegram Desktop pour Windows : le fichier téléchargé s'appelait Teating.apk.mp4, il s'agissait donc à nouveau d'un fichier binaire APK avec une extension .mp4. Cela suggère que même si un attaquant créait un exécutable Windows à utiliser à la place de l'APK Android, il serait toujours traité comme un fichier multimédia et l'exploit ne fonctionnerait pas.
Figure 7. Message d'erreur de Telegram Web lors du déclenchement de l'exploit
Acteur de menace
Bien qu’ils ne sachent pas grand-chose sur l'acteur de la menace, les experts de ESET ont réussi à trouver un autre service douteux qu'il fournit en se basant sur le pseudo Telegram que le vendeur a partagé dans son message sur le forum. En plus de l'exploit, des vendeurs cybercriminels utilisent le même forum clandestin pour faire la publicité d'un cryptor-as-a-service android qu'ils prétendent être totalement indétectable (FUD) depuis le 11 janvier 2024.
Figure 8. Publication sur un forum underground faisant la promotion d'un cryptor-as-a-service Android
Rapport de vulnérabilité
Après avoir découvert la vulnérabilité EvilVideo le 26 juin 2024, les chercheurs de ESET ont suivi la politique de divulgation coordonnée d'ESET pour signaler la vulnérabilité à Telegram. Mais, ils n’ont pu avoir de réponse à l'époque. Mesurant l’incident que cet exploit EvilVideo peut créer, les chercheurs ESET ont à nouveau signalé la vulnérabilité le 4 juillet 2024 dernier. En réponse, Telegram a confirmé que son équipe est entrain d’enquêter sur EvilVideo. Ils ont ainsi résolu le problème, livré la version 10.14.5 le 11 juillet et en ont informé ESET par e-mail.
Selon la correction effectuée par Telegram, les chercheurs ESET expliquent que la vulnérabilité a affecté toutes les versions de Telegram pour Android jusqu'à la version 10.14.4. Mais a été corrigée à partir de la version 10.14.5 comme ils l'ont vérifié. L'aperçu multimédia du chat affiche désormais correctement que le fichier partagé est une application (Figure 9) et non une vidéo.
Figure 9. Chat de la version 10.14.5 de Telegram affichant correctement la nature du fichier binaire partagé
Conclusion
Les chercheurs ESET ont découvert une faille zero-day Telegram pour Android en vente sur un forum clandestin. Une vulnérabilité qui permet d'envoyer des charges utiles malveillantes qui ressemblent à des fichiers multimédias via le chat Telegram. Si un utilisateur essaie de lire la vidéo apparente, il recevra une demande d'installation d'une application externe qui installe en fait la charge utile malveillante. Heureusement, la vulnérabilité a été corrigée le 11 juillet 2024, après que ESET l'a signalé à Telegram.
Source : ESET