Cookiethief – Malware Android que obtém acesso root para roubar cookies do navegador e do aplicativo de Facebook.

Pesquisadores descobriram um novo e poderoso malware para Android chamado “Cookiethief”, lançado por criminosos cibernéticos desconhecidos para roubar cookies dos navegadores e do aplicativo do Facebook, adquirindo o acesso root no dispositivo Android da vítima.

Perder cookies para criminosos cibernéticos é mortalmente perigoso, pois os serviços da Web os usam para armazenar no dispositivo um ID de sessão exclusivo que pode identificar o usuário sem uma senha e fazer login.

Os cookies roubados permitem que os hackers obtenham a sessão dos sites e a usem para acessar a conta da vítima em nome deles para ganho pessoal.

O malware Cookiethief que abusou do navegador e do aplicativo do Facebook não por causa da vulnerabilidade, mas o malware pode roubar arquivos de cookies de qualquer site de outros aplicativos e o mesmo método usado no ataque para roubar os cookies.

Os pesquisadores acreditam que o malware Cookiethief possivelmente esteja vinculado a cavalos de Troia comuns como Sivu, Triada e Ztorg, que são um tipo de malware que explora as vulnerabilidades do sistema operacional para acessar as pastas do sistema.

Um backdoor persistente como o Bood, junto com os programas auxiliares Cookiethief e Youzicheng, pode acabar no dispositivo.

O malware Cookiethief detecta como “com.lob.roblox como HEUR: Trojan-Spy.AndroidOS.Cookiethief ., Org.rabbit como HEUR: Trojan-Proxy.AndroidOS.Youzicheng e Bood como HEUR: Backdoor.AndroidOS.Bood.a .

Processo de infecção por Cookiethief

Inicialmente, o com.lob.roblox, um nome de pacote do malware Cookiethief, cai no dispositivo Android semelhante ao do cliente de jogos Roblox para Android (com.roblox.client), mas não tem nada em comum com o Roblox.

Uma vez descartado, o malware se conecta a um backdoor instalado no mesmo smartphone para executar o super comando.

Posteriormente, ele passa um comando do Shell para execução como resultado, um backdoor chamado Bood será colocado no caminho /system/bin/.bood que ajuda a iniciar um servidor local e executa os comandos recebidos do Cookiethief.

Os pesquisadores descobriram que um servidor C2 usado neste ataque faz parte dos serviços de publicidade para distribuição de spam em redes sociais e mensageiros, o que dificulta a previsão da motivação desse ataque de malware nos usuários do Android.

De acordo com a pesquisa da Kaspersky ”No entanto, durante nossa análise do Cookiethief, descobrimos outro aplicativo malicioso com um estilo de codificação muito semelhante e o mesmo servidor C&C. O segundo “produto” dos (presumivelmente) os mesmos desenvolvedores (detectados como: Trojan-Proxy.AndroidOS.Youzicheng) executa um proxy no dispositivo da vítima. “

Acredita-se que este aplicativo malicioso seja usado para ignorar o sistema de segurança no messenger ou na rede social relevante usando um servidor proxy no dispositivo da vítima para evitar a detecção e a solicitação ao site parecerá uma solicitação de uma conta legítima.

Para implementar esse método, um arquivo executável é primeiro baixado e executado no dispositivo de destino.

Esses dois ataques usados ​​pelos atacantes para evitar levantar suspeitas do Facebook e o atacante estão agora no estágio inicial.

Indicadores de compromisso

MD5

65a92baefd41eb8c1a9df6c266992730
f84a43b008a25ba2ba1060b33daf14a5
c907d74ace51cec7cb53b0c8720063e1
c9c252362fd759742ea9766a769dbabe
8312e7c626c79