Android malver Cookiethief preotima Facebook naloge korisnika zaraženih uređaja

Mobilni telefoni, 13.03.2020, 10:00 AM

Istraživači kompanije Kaspersky otkrili su novi malver. Trojanac Cookiethief je prilično jednostavan, kažu istraživači. Njegov glavni zadatak je da dobije root privilegije na uređaju žrtve i da kolačiće koje koristi veb pregledač i Facebook aplikacija pošalje na server koji je pod kontrolom sajber-kriminalaca. Ovo je moguće ne zbog baga u pregledaču ili Facebook aplikaciji već malver na isti način može da ukrade kolačiće bilo kog veb sajta iz drugih aplikacija.

Kolačići su mali delovi podataka koje prikupljaju veb sajtovi, online servisi i mobilne aplikacije kako bi pratile korisnike. Ove informacije mogu se koristiti u marketinške svrhe - uključujući kreiranje personalizovanog sadržaja ili oglasa - za praćenje angažmana korisnika ili za pravljenje profila korisnika, koji govore o njihovim kupovinama i interesovanjima.

Kolačići se uglavnom ne smatraju štetnim, iako smetaju i potencijalno narušavaju privatnost. Međutim, kada ih veb sajtovi čuvaju i koriste za generisanje jedinstvenih ID-ova sesija kako bi se korisnicima omogućilo da budu prijavljeni na servis, njihov gubitak može da predstavlja bezbednosni rizik.

Sajber-kriminalci mogu da prevare veb sajt da veruje da su legitimni vlasnici naloga, što dovodi do kompromitovanja naloga, krađe podataka i potencijalnog preotimanja naloga. Postoje sigurnosne mere koje mogu sprečiti te scenarije; međutim, Cookiethief može da ih zaobiđe.

Istraživači kompanije Kaspersky nisu sasvim sigurni kako je Cookiethief dospeo na uređaje koji već pokazuju znakove infekcije - a njihov broj je oko 1000.

U slučajevima koje dokumentuje Kaspersky, Facebook kolačići su glavna meta.

Međutim, krađa kolačića nije dovoljna za pristup Facebook nalogu, jer svaka sumnjiva aktivnost može rezultirati automatskim blokiranjem naloga. Malver pokreće proksi na uređaju žrtve kako bi zahtevi za pristup izgledali legitimno.

Na taj način sajber-kriminalci mogu dobiti potpunu kontrolu nad nalogom žrtve a da ne izazovu sumnju kod Facebooka. Od tog trenutka sajber-kriminalci se mogu predstavljati kao žrtva i preuzeti kontrolu nad nalogom da bi distribuirali nepoželjni sadržaj.

Sadržaj o kome je reč je verovatno neželjena pošta ili distribucija malicioznih linkova.

Istraživači kažu da se Cookiethief može dovesti u vezu sa poznatim trojancima kao što su Sivu, Triada i Ztorg. Takvi malveri obično se postavljaju u firmware uređaja pre kupovine, ili u sistemske foldere preko ranjivosti u operativnom sistemu, i tada mogu preuzimati različite aplikacije. Kao rezultat toga, backdoor kao što je Bood, zajedno sa pomoćnim programima Cookiethief i Youzicheng, mogu završiti na uređaju.