Especialistas em SI descoberto dois novos malwares para Android (reconhecido como o sistema operacional mais vulnerável no ano passado), chamado Cookiethief e Youzicheng. Eles podem roubar cookies armazenados em navegadores de smartphones e em aplicativos de redes sociais populares, em particular Facebook.
Como o roubo de cookies pode ser perigoso? Os serviços da Web, com sua ajuda, “armazenam” no dispositivo do usuário não apenas várias configurações, mas também um identificador de sessão único que permite reconhecer o usuário sem senha e login. Por isso, tendo recebido um biscoito, um invasor pode se apresentar como um usuário desavisado e usar sua conta para seus próprios fins.
Os invasores desenvolveram dois malwares com estilo de codificação semelhante e usando o mesmo C&Servidor C. Uma vez instalado no dispositivo, o Trojan ladrão de biscoitos recebe direitos de superusuário e transfere os arquivos cookies do navegador e do aplicativo de rede social instalado para o C&Servidor C.
“O Trojan detectado por nós como Trojan-Spy.AndroidOS.Cookiethief acabou sendo bastante simples. Sua principal tarefa é obter direitos de root no dispositivo e transferir os cookies do navegador e do aplicativo do Facebook para o servidor do invasor.. Para fazer isso, o malware não precisa de vulnerabilidade no navegador ou aplicativo do Facebook, se necessário, poderia roubar o cookie de qualquer site de outros aplicativos da mesma maneira e com aproximadamente o mesmo resultado”, – especialistas escrevem.
No entanto, apenas o identificador da sessão não é suficiente para assumir o controle da conta de outra pessoa. Por exemplo, os sistemas de segurança de alguns sites evitam tentativas suspeitas de login no sistema. Para tais casos, os criminosos criaram um segundo malware – Youzicheng. É capaz de iniciar um servidor proxy no telefone e fornecer aos invasores acesso à Internet a partir do dispositivo da vítima para contornar as medidas de segurança..
De acordo com os especialistas, o malware não explora vulnerabilidades em um navegador móvel ou aplicativo de rede social, e os invasores podem roubar cookies de qualquer site.
“Ao combinar os dois tipos de ataques, os invasores encontraram uma maneira de obter controle sobre as contas dos usuários sem causar suspeitas. Esta é uma ameaça relativamente nova, desde que não mais de mil pessoas tenham sido expostas a ele. Este número está crescendo e, provavelmente, continuará a crescer, dado que é difícil para os sites detectarem tais ataques”, – explicaram os especialistas.
Segundo laudo pericial, O Cookiethief pode estar associado a Trojans comuns, como Página, Tríade e Ztorg usando os endereços dos servidores de controle e chaves de criptografia usadas. Este malware é frequentemente baixado para o próprio “firmware” do dispositivo antes que o usuário o compre, ou entra nas pastas do sistema por meio de vulnerabilidades do sistema operacional, e então pode baixar aplicativos arbitrários nas seções do sistema.
Como resultado, o usuário pode ter um backdoor “indeletável” como Bom, junto com seus aplicativos auxiliares Cookiethief e Youzicheng.
Eu não estou tentando intimidar você, mas vale lembrar que 40% de dispositivos que usam versões mais antigas do Android have not received security updates recently.