Une faille de sécurité zero-day dans l’application mobile de Telegram pour Android, appelée EvilVideo, a permis aux attaquants d’accéder à des fichiers malveillants déguisés en vidéos d’apparence inoffensive.
L’exploit a été mis en vente pour un prix inconnu sur un forum clandestin le 6 juin 2024, a déclaré ESET. Suite à une divulgation responsable le 26 juin, le problème a été résolu par Telegram dans la version 10.14.5 publiée le 11 juillet.
« Les attaquants pourraient partager des charges utiles Android malveillantes via des chaînes, des groupes et des discussions Telegram, et les faire apparaître comme des fichiers multimédias », explique le chercheur en sécurité Lukáš Štefanko dit dans un rapport.
On pense que la charge utile est conçue à l’aide de l’interface de programmation d’application de Telegram (API), qui permet le téléchargement programmatique de fichiers multimédias dans les chats et les canaux. Ce faisant, il permet à un attaquant de camoufler un fichier APK malveillant en une vidéo de 30 secondes.
Les utilisateurs qui cliquent sur la vidéo voient s’afficher un message d’avertissement indiquant que la vidéo ne peut pas être lue et les invitant à essayer de la lire à l’aide d’un lecteur externe. S’ils poursuivent cette étape, il leur est ensuite demandé d’autoriser l’installation du fichier APK via Telegram. L’application en question s’appelle « xHamster Premium Mod ».
« Par défaut, les fichiers multimédias reçus via Telegram sont configurés pour être téléchargés automatiquement », a déclaré Štefanko. « Cela signifie que les utilisateurs ayant activé l’option téléchargeront automatiquement la charge malveillante une fois qu’ils auront ouvert la conversation dans laquelle elle a été partagée. »
Bien que cette option puisse être désactivée manuellement, la charge utile peut toujours être téléchargée en appuyant sur le bouton de téléchargement accompagnant la vidéo supposée. Il convient de noter que l’attaque ne fonctionne pas sur les clients Telegram pour le Web ou l’application Windows dédiée.
On ne sait pas encore qui se cache derrière cet exploit ni dans quelle mesure il a été utilisé dans des attaques réelles. Le même acteur a cependant annoncé en janvier 2024 un crypteur Android totalement indétectable (alias cryptor) qui pourrait contourner Google Play Protect.
Le succès viral de Hamster Kombat engendre un imitateur malveillant
Cette évolution intervient alors que les cybercriminels capitalisent sur le jeu de crypto-monnaie basé sur Telegram Combat de hamsters pour un gain monétaire, avec ESET découvrant de faux magasins d’applications faisant la promotion de l’application, des référentiels GitHub hébergeant Lumma Stealer pour Windows sous le couvert d’outils d’automatisation pour le jeu, et un canal Telegram non officiel utilisé pour distribuer un cheval de Troie Android appelé Ratel.
Le jeu populaire, lancé en mars 2024, est estimé avoir plus de 250 millions de joueurs, selon le développeur du jeu. Le PDG de Telegram, Pavel Durov, a appelé Hamster Kombat est le « service numérique à la croissance la plus rapide au monde » et que « l’équipe de Hamster frappera son jeton sur TONNEfaisant découvrir les avantages de la blockchain à des centaines de millions de personnes. »
Ratel, proposé via un canal Telegram nommé « hamster_easy », est conçu pour imiter le jeu (« Hamster.apk ») et invite les utilisateurs à lui accorder l’accès aux notifications et à se définir comme application SMS par défaut. Il initie ensuite un contact avec un serveur distant pour obtenir un numéro de téléphone en guise de réponse.
À l’étape suivante, le logiciel malveillant envoie un SMS en russe à ce numéro de téléphone, appartenant probablement aux opérateurs du logiciel malveillant, pour recevoir des instructions supplémentaires par SMS.
« Les acteurs malveillants deviennent alors capables de contrôler l’appareil compromis via SMS : le message de l’opérateur peut contenir un texte à envoyer à un numéro spécifié, ou même demander à l’appareil d’appeler le numéro », explique ESET dit« Le logiciel malveillant est également capable de vérifier le solde actuel du compte bancaire de la victime auprès de la Sberbank Russie en envoyant un message contenant le texte баланс (traduction : solde) au numéro 900. »
Ratel abuse de ses droits d’accès aux notifications pour masquer les notifications de pas moins de 200 applications en se basant sur une liste codée en dur intégrée à l’application. On soupçonne que cela est fait dans le but d’abonner les victimes à divers services premium et de les empêcher d’être alertées.
La société de cybersécurité slovaque a déclaré avoir également repéré de fausses boutiques d’applications prétendant proposer Hamster Kombat en téléchargement, mais dirigeant en réalité les utilisateurs vers des publicités indésirables, ainsi que des référentiels GitHub proposant des outils d’automatisation Hamster Kombat qui déploient Lumma Stealer à la place.
« Le succès de Hamster Kombat a également attiré l’attention des cybercriminels, qui ont déjà commencé à déployer des programmes malveillants ciblant les joueurs du jeu », ont déclaré Štefanko et Peter Strýček. « La popularité de Hamster Kombat le rend propice aux abus, ce qui signifie qu’il est très probable que le jeu attire davantage d’acteurs malveillants à l’avenir. »
Le malware BadPack sur Android passe entre les mailles du filet
Au-delà de Telegram, les fichiers APK malveillants ciblant les appareils Android ont également pris la forme de BadPack, qui font référence à des fichiers de package spécialement conçus dans lesquels les informations d’en-tête utilisées dans le format d’archive ZIP ont été modifiées pour tenter d’entraver l’analyse statique.
Ce faisant, l’idée est d’empêcher que le fichier AndroidManifest.xml – un fichier crucial qui fournit des informations essentielles sur l’application mobile – soit extrait et correctement analysé, permettant ainsi l’installation d’artefacts malveillants sans déclencher aucun signal d’alarme.
Cette technique a été largement documentée par Kaspersky au début du mois d’avril en lien avec un cheval de Troie Android appelé SoumniBot qui a ciblé des utilisateurs en Corée du Sud. Les données de télémétrie recueillies par Palo Alto Networks Unit 42 de juin 2023 à juin 2024 ont détecté près de 9 200 échantillons BadPack dans la nature, bien qu’aucun d’entre eux n’ait été trouvé sur Google Play Store.
« Ces en-têtes falsifiés sont une fonctionnalité clé de BadPack, et de tels échantillons posent généralement un défi pour les outils d’ingénierie inverse Android », a déclaré Lee Wei Yeong, chercheur de l’unité 42. dit dans un rapport publié la semaine dernière. « De nombreux chevaux de Troie bancaires basés sur Android comme BianLian, Cerberus et TeaBot utilisent BadPack. »