Archives par mot-clé : telegram

Cybersécurité, Securite informatique

Une nouvelle menace sur Android : le virus EvilLoader cible les comptes Telegram

EvilLoader menace les utilisateurs d’Android en ciblant leurs comptes Telegram. Ce logiciel malveillant, déguisé en fichier vidéo, permet aux pirates de prendre le contrôle des appareils infectés et de voler des données confidentielles.

Les utilisateurs d’Android font face à une nouvelle menace sérieuse avec l’apparition du virus EvilLoader. Ce logiciel malveillant utilise une méthode d’infection sournoise en se faisant passer pour une mise à jour légitime de Telegram ou un lecteur multimédia. Lorsqu’un utilisateur tente d’ouvrir un fichier vidéo piégé, une erreur s’affiche, suggérant d’installer une mise à jour. Si l’utilisateur accepte, le virus s’installe discrètement sur l’appareil, donnant ainsi aux pirates un accès total aux données personnelles et aux messages Telegram. Ce type d’attaque s’appuie sur la confiance des utilisateurs envers des plateformes sécurisées comme Telegram, rendant la menace encore plus dangereuse. EvilLoader met en lumière une stratégie d’attaque psychologique qui n’est pas nouvelle, mais un Social Engineering efficace, exploitant la curiosité et le sentiment d’urgence des victimes.

Un virus sournois qui cible les utilisateurs de Telegram

Le virus EvilLoader fonctionne selon un schéma d’attaque bien rodé [Voir vidéo]. Les pirates diffusent des fichiers vidéo corrompus en utilisant des canaux Telegram ou en se faisant passer pour des contacts de confiance. L’utilisateur reçoit un fichier vidéo accompagné d’un message engageant, l’incitant à ouvrir le fichier. Dès qu’il tente de le lancer, une erreur s’affiche, expliquant que le fichier ne peut pas être lu sans une mise à jour de Telegram ou sans l’installation d’un lecteur multimédia. Ce message est conçu pour paraître crédible et pousse l’utilisateur à agir rapidement, créant un sentiment d’urgence qui réduit la méfiance.

Si l’utilisateur télécharge la mise à jour suggérée, EvilLoader s’installe automatiquement sur l’appareil. Le virus prend alors le contrôle du compte Telegram de la victime, récupérant les identifiants de connexion, accédant aux messages privés et interceptant les informations échangées. Pire encore, les pirates peuvent utiliser le compte compromis pour envoyer de nouveaux fichiers malveillants aux contacts de la victime, amplifiant ainsi la portée de l’attaque. Cette capacité à se propager rapidement fait d’EvilLoader une menace particulièrement inquiétante.

Les faux bots Telegram sont souvent utilisés comme point d’entrée pour cette attaque. Les pirates créent de faux comptes se faisant passer pour des services de type « Free Telegram Premium« , promettant des fonctionnalités avancées ou des bonus gratuits. Une fois que l’utilisateur tombe dans le piège et installe le fichier malveillant, le virus s’infiltre dans le système, prenant le contrôle non seulement de Telegram mais aussi d’autres données sensibles stockées sur l’appareil.

Une attaque psychologique basée sur la manipulation

EvilLoader ne repose pas uniquement sur une faille technique, mais également sur une stratégie psychologique redoutable. Les cybercriminels exploitent plusieurs mécanismes mentaux pour pousser la victime à agir sans réfléchir. La première tactique repose sur l’appât de la nouveauté. En promettant des fonctionnalités premium ou des bonus gratuits, les pirates éveillent la curiosité de l’utilisateur, le poussant à ouvrir le fichier corrompu.

Ensuite, le message d’erreur affiché après l’ouverture du fichier joue sur le sentiment d’urgence. L’utilisateur, confronté à une panne apparente, est encouragé à réagir rapidement en installant une mise à jour. Cette pression temporelle empêche souvent une réflexion rationnelle et pousse la victime à suivre aveuglément les instructions affichées.

Enfin, la dernière clé de cette manipulation est la confiance dans Telegram. La plateforme étant reconnue pour son haut niveau de sécurité et son système de chiffrement, les utilisateurs ont tendance à accorder leur confiance à tout ce qui semble provenir de Telegram. Les pirates jouent sur cette confiance pour contourner les défenses naturelles des utilisateurs et faciliter l’installation du virus.

Comment les utilisateurs peuvent-ils se protéger ?

Pour éviter une infection par EvilLoader, il est essentiel d’adopter une approche proactive en matière de cybersécurité. Tout d’abord, il est crucial de ne jamais télécharger d’application ou de mise à jour en dehors des sources officielles. Telegram, comme toutes les grandes plateformes, propose ses mises à jour exclusivement via le Google Play Store. Installer une application depuis un fichier APK externe représente un risque majeur.

Ensuite, il est important de se méfier des fichiers reçus de contacts inconnus. Si un fichier vidéo est accompagné d’un message insistant pour une mise à jour ou une installation, il est préférable de le supprimer immédiatement. Vérifier le type de fichier peut également permettre de détecter une tentative d’infection : un fichier portant une extension inhabituelle (.exe ou .apk) envoyé via Telegram est presque toujours suspect.

L’installation d’un logiciel antivirus est également recommandée. Une solution de sécurité efficace permet de détecter les logiciels malveillants avant qu’ils ne s’installent et de bloquer les processus suspects en arrière-plan. Une analyse régulière du téléphone peut aider à repérer les fichiers ou applications malveillantes déjà installés.

Enfin, il est essentiel d’activer l’authentification à deux facteurs (2FA) sur Telegram. Cette mesure de sécurité ajoute une couche supplémentaire de protection, rendant le vol de compte beaucoup plus difficile, même si le mot de passe a été compromis. La vérification régulière de la liste des sessions actives dans les paramètres de sécurité de Telegram permet également de détecter rapidement une connexion suspecte.

Que faire en cas de compromission ?

Si votre compte Telegram a été compromis par EvilLoader, il est important d’agir rapidement pour limiter les dégâts. La première étape consiste à changer immédiatement le mot de passe de Telegram depuis un autre appareil non infecté. Cela permet de révoquer la session active du pirate.

Ensuite, il faut vérifier la liste des sessions actives dans les paramètres de sécurité de Telegram. Si des connexions suspectes apparaissent depuis des appareils ou des localisations inhabituelles, il est essentiel de les fermer immédiatement.

Il est également recommandé de supprimer le fichier malveillant téléchargé, ainsi que toutes les applications suspectes récemment installées. Une analyse complète de l’appareil à l’aide d’un logiciel antivirus est indispensable pour s’assurer qu’aucun autre fichier corrompu ne reste actif dans le système.

Bitcoin, Cybersécurité

Telegram : les transactions crypto dans la ligne de mire

Telegram vient d’ajouter une nouveauté dans sa FAQ qui ne plaira pas aux pirates !

Depuis l’arrestation en août 2024 de Pavel Durov, cofondateur de Telegram, les groupes de pirates sur la plateforme sont en panique. La FAQ de Telegram précise désormais que l’application Wallet, utilisée pour les transactions en cryptomonnaies, est prête à divulguer les informations des utilisateurs aux forces de l’ordre.

Bien que Telegram ne gère pas directement Wallet, cette mise à jour de la politique de confidentialité intervient après l’arrestation de Durov et signale un changement dans la gestion de l’anonymat pour les transactions effectuées via la plateforme.

Cybersécurité, Securite informatique

Kopeechka : le site web qui permet d’ouvrir des milliers de comptes réseaux sociaux

Un outil web russe inonde les réseaux sociaux de robots permettant, dans certains cas, d’orchestrer des vagues de fakes news.

Des cybercriminels peu qualifiés utilisent un nouvel outil pour créer des centaines de faux comptes de réseaux sociaux en quelques secondes seulement, ont découvert des chercheurs de chez Trend Micro. Appelé Kopeechka (« penny » en russe), le service permet de contourner deux obstacles principaux pour quelqu’un qui tente de créer un faux compte : la vérification par courrier électronique et par téléphone.

J’avoue être très étonné, le site Kopeechka existe depuis plusieurs années [2019] et il est légal. Il affiche être une solution prête à l’emploi pour l’achat groupé de comptes de messagerie sans nécessiter de maintenance supplémentaire de ces comptes. Mais, comme d’habitude, des pirates et autres malveillants ont trouvé le moyen de détourner le service.

Bref, les cyber criminels peuvent utiliser Kopeechka pour mener des campagnes de désinformation, de spam et de promotion de logiciels malveillants. Il semble que ce service a été utilisé pour enregistrer en masse des comptes sur la plateforme de médias sociaux Mastodon afin de mener des campagnes de spam à grande échelle promouvant des plateformes d’investissement frauduleuses en crypto-monnaie.

Une lutte contre les faux comptes

Les géants des médias sociaux comme Instagram, Facebook et X (anciennement Twitter) s’efforcent depuis longtemps de minimiser l’enregistrement massif de faux comptes, également appelés robots, car ils sont souvent utilisés par les pirates informatiques dans leurs activités illégales. Les mesures anti-bot de base, comme la validation de l’adresse e-mail et du numéro de téléphone, l’utilisation d’adresses IP non suspectes et le CAPTCHA (un puzzle sur un site Web conçu pour confirmer qu’il est utilisé par une personne réelle plutôt que par un programme informatique), sont dissuasives.

Les cybercriminels peuvent contourner les CAPTCHA et les contrôles de réputation des adresses IP à l’aide de scripts automatisés, mais obtenir des adresses électroniques et des numéros de téléphone uniques peut s’avérer plus difficile. C’est alors qu’ils se tournent vers des services comme Kopeechka. En plus des principales plateformes de médias sociaux comme Facebook et X, les cybercriminels ont utilisé l’API de Kopeechka pour enregistrer des comptes sur Discord ou encore Telegram.

Un détournement malveillant voulu ?

Des chercheurs de Trend Micro ont également découvert un script Python via Kopeechka qui pourrait être utilisé pour créer des comptes sur Virus Total, un service en ligne qui analyse les fichiers informatiques à la recherche de virus, ce qui implique que certains utilisateurs pourraient enregistrer ces comptes pour tester la détection de leurs logiciels malveillants. Kopeechka permet aux utilisateurs d’accéder aux courriels reçus des plateformes de médias sociaux. Il ne cède pas lui-même le compte de boîte aux lettres, car il est contrôlé par Kopeechka et non par un utilisateur tiers.

Kopeechka dispose de plusieurs comptes de messagerie en stock, notamment avec Hotmail, Outlook ou encore Gmail. L’outil étant russe, Mail.ru fait parti du râtelier du service. Il permet d’utiliser une seule adresse pour plusieurs inscriptions sur différentes plateformes de médias sociaux. Les chercheurs soupçonnent que ces adresses sont soit compromises, soit créées par les acteurs de Kopeechka eux-mêmes.

Pour vérifier les numéros de téléphone des utilisateurs lors de l’enregistrement du compte, Kopeechka offre l’accès à 16 services SMS en ligne différents, provenant pour la plupart de Russie. Le blog ZATAZ a montré, il y a deux ans, dans son espace OSINT, différents sites web permettant de recevoir des SMS, sans être obligé de fournir un numéro de téléphone officiel ou enregistré.

Il faut compter moins de 0.0020$ par message. Deux adresse en .fr sont disponibles : outlook.fr et gmx.fr.

backdoor, Chiffrement, cryptage, Cybersécurité, Justice, loi, OS X, Securite informatique, Téléphonie

La Russie demande à Apple de supprimer Telegram dans l’App Store

La guerre entre l’application Telegram et le gouvernement Russie touche Apple. Apple sommé de retirer l’outil de communication chiffrée de son Apple Store.

L’application de messagerie sécurisée Telegram a été interdite en Russie en avril 2018, mais jusqu’à présent, elle est toujours disponible dans sa version russe sur l’App Store d’Apple. Le gouvernement Poutine vient de demander à APPLE de retirer de sa boutique Telegram.

Effacer la possibilité de le télécharger, mais aussi l’empêcher d’envoyer des notifications push aux utilisateurs locaux. Les autorités indiquent à Apple lui laisser un mois pour se conformer avant d’imposer une sanction plus radicale. Pour rappel, Telegram refuse de fournir aux autorités Russes les clés de déchiffrement. Une/des « master key » qui pourrai(en)t permettre au FSB, les services de renseignement Russes, de surveiller les messages diffusés via Telegram. Dans sa mission de blocage des actions terroristes, via Telegram et autres outils d’anonymisation, la Russie a bloqué 50 services VPN afin de restreindre davantage l’accès à Telegram.

Mais malgré ces efforts, la majorité des utilisateurs en Russie accèdent toujours à l’application, indique Roskomnadzor. Seulement 15 à 30% des opérations de Telegram perturbées jusqu’à présent. Bilan, la Russie se tourne vers Apple pour obtenir de l’aide. Roskomnadzor, piraté il y a quelques jours, annonce que Google est en pourparlers pour interdire l’application sTelegram sur Google Play. Alors qu’Apple a exprimé son soutien pour le chiffrement et la sécurisation des données, la société américaine a également fait des concessions aux demandes locales. En Chine, par exemple, Apple a retiré les applications VPN de son magasin.

En attendant, cela veut-il dire que Telegram possède des clés de déchiffrement permettant de lire les messages transitant par ses services ?

Son système de stockage iCloud a été déplacé vers Guizhou-Cloud Big Data Industry Development Co., Ltd. (GCBD), une entreprise locale liée au gouvernement.