{"id":1251957,"date":"2024-07-24T14:53:02","date_gmt":"2024-07-24T16:53:02","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-faille-de-lapplication-telegram-exploitee-pour-diffuser-un-logiciel-malveillant-cache-dans-des-videos\/"},"modified":"2024-07-24T14:53:08","modified_gmt":"2024-07-24T16:53:08","slug":"une-faille-de-lapplication-telegram-exploitee-pour-diffuser-un-logiciel-malveillant-cache-dans-des-videos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-faille-de-lapplication-telegram-exploitee-pour-diffuser-un-logiciel-malveillant-cache-dans-des-videos\/","title":{"rendered":"Une faille de l&#8217;application Telegram exploit\u00e9e pour diffuser un logiciel malveillant cach\u00e9 dans des vid\u00e9os"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Une-faille-de-lapplication-Telegram-exploitee-pour-diffuser-un-logiciel.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Une faille de s\u00e9curit\u00e9 zero-day dans l&#8217;application mobile de Telegram pour Android, appel\u00e9e EvilVideo, a permis aux attaquants d&#8217;acc\u00e9der \u00e0 des fichiers malveillants d\u00e9guis\u00e9s en vid\u00e9os d&#8217;apparence inoffensive.<\/p>\n<p>L&#8217;exploit a \u00e9t\u00e9 mis en vente pour un prix inconnu sur un forum clandestin le 6 juin 2024, a d\u00e9clar\u00e9 ESET. Suite \u00e0 une divulgation responsable le 26 juin, le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu par Telegram dans la version 10.14.5 publi\u00e9e le 11 juillet.<\/p>\n<p>\u00ab Les attaquants pourraient partager des charges utiles Android malveillantes via des cha\u00eenes, des groupes et des discussions Telegram, et les faire appara\u00eetre comme des fichiers multim\u00e9dias \u00bb, explique le chercheur en s\u00e9curit\u00e9 Luk\u00e1\u0161 \u0160tefanko <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android\/\" target=\"_blank\">dit<\/a> dans un rapport.<\/p>\n<p>On pense que la charge utile est con\u00e7ue \u00e0 l&#8217;aide de l&#8217;interface de programmation d&#8217;application de Telegram (<a rel=\"nofollow noopener\" href=\"https:\/\/core.telegram.org\" target=\"_blank\">API<\/a>), qui permet le t\u00e9l\u00e9chargement programmatique de fichiers multim\u00e9dias dans les chats et les canaux. Ce faisant, il permet \u00e0 un attaquant de camoufler un fichier APK malveillant en une vid\u00e9o de 30 secondes. <\/p>\n<p>Les utilisateurs qui cliquent sur la vid\u00e9o voient s&#8217;afficher un message d&#8217;avertissement indiquant que la vid\u00e9o ne peut pas \u00eatre lue et les invitant \u00e0 essayer de la lire \u00e0 l&#8217;aide d&#8217;un lecteur externe. S&#8217;ils poursuivent cette \u00e9tape, il leur est ensuite demand\u00e9 d&#8217;autoriser l&#8217;installation du fichier APK via Telegram. L&#8217;application en question s&#8217;appelle \u00ab xHamster Premium Mod \u00bb.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>\u00ab Par d\u00e9faut, les fichiers multim\u00e9dias re\u00e7us via Telegram sont configur\u00e9s pour \u00eatre t\u00e9l\u00e9charg\u00e9s automatiquement \u00bb, a d\u00e9clar\u00e9 \u0160tefanko. \u00ab Cela signifie que les utilisateurs ayant activ\u00e9 l&#8217;option t\u00e9l\u00e9chargeront automatiquement la charge malveillante une fois qu&#8217;ils auront ouvert la conversation dans laquelle elle a \u00e9t\u00e9 partag\u00e9e. \u00bb<\/p>\n<p>Bien que cette option puisse \u00eatre d\u00e9sactiv\u00e9e manuellement, la charge utile peut toujours \u00eatre t\u00e9l\u00e9charg\u00e9e en appuyant sur le bouton de t\u00e9l\u00e9chargement accompagnant la vid\u00e9o suppos\u00e9e. Il convient de noter que l&#8217;attaque ne fonctionne pas sur les clients Telegram pour le Web ou l&#8217;application Windows d\u00e9di\u00e9e.<\/p>\n<p>On ne sait pas encore qui se cache derri\u00e8re cet exploit ni dans quelle mesure il a \u00e9t\u00e9 utilis\u00e9 dans des attaques r\u00e9elles. Le m\u00eame acteur a cependant annonc\u00e9 en janvier 2024 un crypteur Android totalement ind\u00e9tectable (alias cryptor) qui pourrait contourner Google Play Protect.<\/p>\n<h3>Le succ\u00e8s viral de Hamster Kombat engendre un imitateur malveillant<\/h3>\n<p>Cette \u00e9volution intervient alors que les cybercriminels capitalisent sur le jeu de crypto-monnaie bas\u00e9 sur Telegram <a rel=\"nofollow noopener\" href=\"https:\/\/hamsterkombatgame.io\" target=\"_blank\">Combat de hamsters<\/a> pour un gain mon\u00e9taire, avec ESET d\u00e9couvrant de faux magasins d&#8217;applications faisant la promotion de l&#8217;application, des r\u00e9f\u00e9rentiels GitHub h\u00e9bergeant Lumma Stealer pour Windows sous le couvert d&#8217;outils d&#8217;automatisation pour le jeu, et un canal Telegram non officiel utilis\u00e9 pour distribuer un cheval de Troie Android appel\u00e9 Ratel.<\/p>\n<p>Le jeu populaire, lanc\u00e9 en mars 2024, est <a rel=\"nofollow noopener\" href=\"https:\/\/x.com\/hamster_kombat\/status\/1810636060114006280\" target=\"_blank\">estim\u00e9<\/a> avoir plus de 250 millions de joueurs, selon le d\u00e9veloppeur du jeu. Le PDG de Telegram, Pavel Durov, a <a rel=\"nofollow noopener\" href=\"https:\/\/t.me\/durov\/307\" target=\"_blank\">appel\u00e9<\/a> Hamster Kombat est le \u00ab service num\u00e9rique \u00e0 la croissance la plus rapide au monde \u00bb et que \u00ab l&#8217;\u00e9quipe de Hamster frappera son jeton sur <a rel=\"nofollow noopener\" href=\"https:\/\/ton.org\" target=\"_blank\">TONNE<\/a>faisant d\u00e9couvrir les avantages de la blockchain \u00e0 des centaines de millions de personnes. \u00bb<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721839982_573_Une-faille-de-lapplication-Telegram-exploitee-pour-diffuser-un-logiciel.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721839982_573_Une-faille-de-lapplication-Telegram-exploitee-pour-diffuser-un-logiciel.png\" alt=\"Application Telegram\" border=\"0\" data-original-height=\"480\" data-original-width=\"728\" title=\"Application Telegram\"\/><\/a><\/div>\n<p>Ratel, propos\u00e9 via un canal Telegram nomm\u00e9 \u00ab hamster_easy \u00bb, est con\u00e7u pour imiter le jeu (\u00ab Hamster.apk \u00bb) et invite les utilisateurs \u00e0 lui accorder l&#8217;acc\u00e8s aux notifications et \u00e0 se d\u00e9finir comme application SMS par d\u00e9faut. Il initie ensuite un contact avec un serveur distant pour obtenir un num\u00e9ro de t\u00e9l\u00e9phone en guise de r\u00e9ponse.<\/p>\n<p>\u00c0 l\u2019\u00e9tape suivante, le logiciel malveillant envoie un SMS en russe \u00e0 ce num\u00e9ro de t\u00e9l\u00e9phone, appartenant probablement aux op\u00e9rateurs du logiciel malveillant, pour recevoir des instructions suppl\u00e9mentaires par SMS.<\/p>\n<p>\u00ab Les acteurs malveillants deviennent alors capables de contr\u00f4ler l&#8217;appareil compromis via SMS : le message de l&#8217;op\u00e9rateur peut contenir un texte \u00e0 envoyer \u00e0 un num\u00e9ro sp\u00e9cifi\u00e9, ou m\u00eame demander \u00e0 l&#8217;appareil d&#8217;appeler le num\u00e9ro \u00bb, explique ESET <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/tap-estry-threats-targeting-hamster-kombat-players\/\" target=\"_blank\">dit<\/a>\u00ab Le logiciel malveillant est \u00e9galement capable de v\u00e9rifier le solde actuel du compte bancaire de la victime aupr\u00e8s de la Sberbank Russie en envoyant un message contenant le texte \u0431\u0430\u043b\u0430\u043d\u0441 (traduction : solde) au num\u00e9ro 900. \u00bb<\/p>\n<p>Ratel abuse de ses droits d&#8217;acc\u00e8s aux notifications pour masquer les notifications de pas moins de 200 applications en se basant sur une liste cod\u00e9e en dur int\u00e9gr\u00e9e \u00e0 l&#8217;application. On soup\u00e7onne que cela est fait dans le but d&#8217;abonner les victimes \u00e0 divers services premium et de les emp\u00eacher d&#8217;\u00eatre alert\u00e9es.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 slovaque a d\u00e9clar\u00e9 avoir \u00e9galement rep\u00e9r\u00e9 de fausses boutiques d&#8217;applications pr\u00e9tendant proposer Hamster Kombat en t\u00e9l\u00e9chargement, mais dirigeant en r\u00e9alit\u00e9 les utilisateurs vers des publicit\u00e9s ind\u00e9sirables, ainsi que des r\u00e9f\u00e9rentiels GitHub proposant des outils d&#8217;automatisation Hamster Kombat qui d\u00e9ploient Lumma Stealer \u00e0 la place.<\/p>\n<p>\u00ab Le succ\u00e8s de Hamster Kombat a \u00e9galement attir\u00e9 l&#8217;attention des cybercriminels, qui ont d\u00e9j\u00e0 commenc\u00e9 \u00e0 d\u00e9ployer des programmes malveillants ciblant les joueurs du jeu \u00bb, ont d\u00e9clar\u00e9 \u0160tefanko et Peter Str\u00fd\u010dek. \u00ab La popularit\u00e9 de Hamster Kombat le rend propice aux abus, ce qui signifie qu&#8217;il est tr\u00e8s probable que le jeu attire davantage d&#8217;acteurs malveillants \u00e0 l&#8217;avenir. \u00bb<\/p>\n<h3>Le malware BadPack sur Android passe entre les mailles du filet<\/h3>\n<p>Au-del\u00e0 de Telegram, les fichiers APK malveillants ciblant les appareils Android ont \u00e9galement pris la forme de BadPack, qui font r\u00e9f\u00e9rence \u00e0 des fichiers de package sp\u00e9cialement con\u00e7us dans lesquels les informations d&#8217;en-t\u00eate utilis\u00e9es dans le format d&#8217;archive ZIP ont \u00e9t\u00e9 modifi\u00e9es pour tenter d&#8217;entraver l&#8217;analyse statique.<\/p>\n<p>Ce faisant, l\u2019id\u00e9e est d\u2019emp\u00eacher que le fichier AndroidManifest.xml \u2013 un fichier crucial qui fournit des informations essentielles sur l\u2019application mobile \u2013 soit extrait et correctement analys\u00e9, permettant ainsi l\u2019installation d\u2019artefacts malveillants sans d\u00e9clencher aucun signal d\u2019alarme.<\/p>\n<p>Cette technique a \u00e9t\u00e9 largement document\u00e9e par Kaspersky au d\u00e9but du mois d&#8217;avril en lien avec un cheval de Troie Android appel\u00e9 SoumniBot qui a cibl\u00e9 des utilisateurs en Cor\u00e9e du Sud. Les donn\u00e9es de t\u00e9l\u00e9m\u00e9trie recueillies par Palo Alto Networks Unit 42 de juin 2023 \u00e0 juin 2024 ont d\u00e9tect\u00e9 pr\u00e8s de 9 200 \u00e9chantillons BadPack dans la nature, bien qu&#8217;aucun d&#8217;entre eux n&#8217;ait \u00e9t\u00e9 trouv\u00e9 sur Google Play Store.<\/p>\n<p>\u00ab Ces en-t\u00eates falsifi\u00e9s sont une fonctionnalit\u00e9 cl\u00e9 de BadPack, et de tels \u00e9chantillons posent g\u00e9n\u00e9ralement un d\u00e9fi pour les outils d&#8217;ing\u00e9nierie inverse Android \u00bb, a d\u00e9clar\u00e9 Lee Wei Yeong, chercheur de l&#8217;unit\u00e9 42. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/apk-badpack-malware-tampered-headers\/\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re. \u00ab De nombreux chevaux de Troie bancaires bas\u00e9s sur Android comme BianLian, Cerberus et TeaBot utilisent BadPack. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/telegram-app-flaw-exploited-to-spread.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une faille de s\u00e9curit\u00e9 zero-day dans l&#8217;application mobile de Telegram pour Android, appel\u00e9e EvilVideo, a permis aux attaquants d&#8217;acc\u00e9der \u00e0 des fichiers malveillants d\u00e9guis\u00e9s en vid\u00e9os d&#8217;apparence inoffensive. L&#8217;exploit a \u00e9t\u00e9 mis en vente pour un prix inconnu sur un forum clandestin le 6 juin 2024, a d\u00e9clar\u00e9 ESET. Suite \u00e0 une divulgation responsable le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1251958,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,1350,4168,4158,4165,429,133,773,36372,9048,838,238584,6816,200271,7733,238334,98340,185,238617,4172,4169,10787,196,2652,4166,238583],"class_list":["post-1251957","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-cache","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-dans","tag-des","tag-diffuser","tag-exploitee","tag-faille","tag-lapplication","tag-les-nouvelles-des-hackers","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-pour","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-telegram","tag-une","tag-videos","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1251957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1251957"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1251957\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1251958"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1251957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1251957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1251957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}