Gebruikers van de Windows-versie van de chatt-app Telegram waren vorig jaar gedurende enkele maanden het doelwit van een RTLO-aanval, zo laat anti-virusbedrijf Kaspersky Lab weten. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid.

Als voorbeeld noemen de onderzoekers een bestand met de naam photo_high_re[unicode-karakter]gnp.js dat een aanvaller naar een doelwit had kunnen sturen. Door het gebruik van het unicode-karakter kregen Telegram-gebruikers de bestandsnaam photo_high_resj.png te zien. Hierdoor lijkt het om een afbeelding te gaan, terwijl het in werkelijkheid een JavaScript-bestand is. Bij het openen van het JavaScript-bestand krijgen gebruikers wel een waarschuwing te zien dat het om een JavaScript-bestand gaat. Vervolgens moet de gebruiker bevestigen dat hij het bestand wil openen. Wanneer dit wordt gedaan zal het JavaScript-bestand malware op het systeem installeren.

Via de malware hadden aanvallers volledige controle over het systeem en konden aanvullende modules installeren. Het ging onder andere om modules die de besmette computer naar cryptovaluta lieten mijnen. Kaskersy Lab ontdekte de aanval in oktober vorig jaar. Verder onderzoek wees uit dat de aanvallen tegen de Windows-versie van Telegram sinds maart 2017 plaatsvonden. Na te zijn ingelicht heeft Telegram het probleem verholpen zodat RTLO-aanvallen niet meer werken en de werkelijke bestandsnaam wordt weergegeven. Of ook andere Telegram-versies kwetsbaar waren kan Kaspersky Lab niet zeggen.