(https://i.imgur.com/el7qmqj.jpg)
Se ha encontrado una nueva variedad simple pero peligrosa de malware de Android en la naturaleza que roba las cookies de autenticación de los usuarios de la navegación web y otras aplicaciones, incluidas Chrome y Facebook, instaladas en los dispositivos comprometidos.
Apodado " Cookiethief " por los investigadores de Kaspersky, el troyano adquiere derechos de root de superusuario en el dispositivo de destino y, posteriormente, transfiere cookies robadas a un servidor remoto de comando y control (C2) operado por atacantes.
"Esta técnica de abuso no es posible debido a una vulnerabilidad en la aplicación de Facebook o en el navegador en sí", dijeron los investigadores de Kaspersky . "El malware podría robar archivos de cookies de cualquier sitio web de otras aplicaciones de la misma manera y lograr resultados similares".
Cookiethief: secuestro de cuentas sin necesidad de contraseñas
Las cookies son pequeñas piezas de información que los sitios web utilizan a menudo para diferenciar a un usuario de otro, ofrecer continuidad en la web, rastrear sesiones de navegación en diferentes sitios web, servir contenido personalizado y cadenas relacionadas con anuncios dirigidos.
Dado que las cookies en un dispositivo permiten a los usuarios permanecer conectados a un servicio sin tener que iniciar sesión repetidamente, Cookiethief tiene como objetivo explotar este mismo comportamiento para permitir a los atacantes obtener acceso no autorizado a las cuentas de las víctimas sin conocer sus contraseñas de cuentas en línea reales.
"De esta manera, un cibercriminal armado con una galleta puede hacerse pasar por la víctima desprevenida y usar la cuenta de este último para beneficio personal", dijeron los investigadores.
Kaspersky teoriza que podría haber varias formas en que el troyano podría aterrizar en el dispositivo, incluida la plantación de dicho malware en el firmware del dispositivo antes de la compra o la explotación de vulnerabilidades en el sistema operativo para descargar aplicaciones maliciosas.
(https://i.imgur.com/fnkBLSb.jpg)
Una vez que el dispositivo está infectado, el malware se conecta a una puerta trasera, denominada ' Bood ', instalada en el mismo teléfono inteligente para ejecutar comandos de "superusuario" que facilitan el robo de cookies.
¿Cómo evitan los atacantes la protección multinivel ofrecida por Facebook?
Sin embargo, el malware Cookiethief no lo tiene todo fácil. Facebook tiene medidas de seguridad para bloquear cualquier intento de inicio de sesión sospechoso, como direcciones IP, dispositivos y navegadores que nunca antes se habían utilizado para iniciar sesión en la plataforma.
Pero los malos actores han solucionado el problema aprovechando la segunda aplicación de malware, llamada ' Youzicheng ' , que crea un servidor proxy en el dispositivo infectado para suplantar la ubicación geográfica del propietario de la cuenta para que las solicitudes de acceso sean legítimas.
"Al combinar estos dos ataques, los ciberdelincuentes pueden obtener un control completo sobre la cuenta de la víctima y no levantar sospechas de Facebook", anotaron los investigadores.
(https://i.imgur.com/i25PA7X.jpg)
Todavía no está claro qué buscan realmente los atacantes, pero los investigadores encontraron una página que se encuentra en los servicios de publicidad del servidor C2 para distribuir spam en redes sociales y mensajeros, llevándolos a la conclusión de que los delincuentes podrían aprovechar Cookiethief para secuestrar las redes sociales de los usuarios. cuentas para difundir enlaces maliciosos o perpetuar ataques de phishing.
Si bien Kaspersky clasificó el ataque como una nueva amenaza, con solo alrededor de 1,000 personas atacadas de esta manera, advirtió que este número está "creciendo" teniendo en cuenta la dificultad para detectar tales intrusiones.
Para estar a salvo de tales ataques, se recomienda que los usuarios bloqueen las cookies de terceros en el navegador del teléfono, las borren regularmente.
Vía: https://thehackernews.com