Cookiethief – Malware Android que obtém acesso root para roubar dados

CoronaVirus Cyber Attack – Cibercriminosos visam vítimas em todo o mundo
17 de março de 2020
10 tipos diferentes de malwares perigosos e como evitá-los
30 de março de 2020

Cookiethief – Malware Android que obtém acesso root para roubar cookies do navegador e do aplicativo de Facebook.

 

Pesquisadores descobriram um novo e poderoso malware para Android chamado “Cookiethief”, lançado por criminosos cibernéticos desconhecidos para roubar cookies dos navegadores e do aplicativo do Facebook, adquirindo o acesso root no dispositivo Android da vítima.

Perder cookies para criminosos cibernéticos é mortalmente perigoso, pois os serviços da Web os usam para armazenar no dispositivo um ID de sessão exclusivo que pode identificar o usuário sem uma senha e fazer login.

Os cookies roubados permitem que os hackers obtenham a sessão dos sites e a usem para acessar a conta da vítima em nome deles para ganho pessoal.

O malware Cookiethief que abusou do navegador e do aplicativo do Facebook não por causa da vulnerabilidade, mas o malware pode roubar arquivos de cookies de qualquer site de outros aplicativos e o mesmo método usado no ataque para roubar os cookies.

Os pesquisadores acreditam que o malware Cookiethief possivelmente esteja vinculado a cavalos de Troia comuns como Sivu, Triada e Ztorg, que são um tipo de malware que explora as vulnerabilidades do sistema operacional para acessar as pastas do sistema.

Um backdoor persistente como o Bood, junto com os programas auxiliares Cookiethief e Youzicheng, pode acabar no dispositivo.

O malware Cookiethief detecta como “com.lob.roblox como HEUR: Trojan-Spy.AndroidOS.Cookiethief ., Org.rabbit como HEUR: Trojan-Proxy.AndroidOS.Youzicheng e Bood como HEUR: Backdoor.AndroidOS.Bood.a .

Processo de infecção por Cookiethief

Inicialmente, o com.lob.roblox, um nome de pacote do malware Cookiethief, cai no dispositivo Android semelhante ao do cliente de jogos Roblox para Android (com.roblox.client), mas não tem nada em comum com o Roblox.

Uma vez descartado, o malware se conecta a um backdoor instalado no mesmo smartphone para executar o super comando.

cozinheiro
Recursos maliciosos de Trojan-Spy.AndroidOS.Cookiethief

Posteriormente, ele passa um comando do Shell para execução como resultado, um backdoor chamado Bood será colocado no caminho /system/bin/.bood que ajuda a iniciar um servidor local e executa os comandos recebidos do Cookiethief.

Os pesquisadores descobriram que um servidor C2 usado neste ataque faz parte dos serviços de publicidade para distribuição de spam em redes sociais e mensageiros, o que dificulta a previsão da motivação desse ataque de malware nos usuários do Android.

De acordo com a pesquisa da Kaspersky ”No entanto, durante nossa análise do Cookiethief, descobrimos outro aplicativo malicioso com um estilo de codificação muito semelhante e o mesmo servidor C&C. O segundo “produto” dos (presumivelmente) os mesmos desenvolvedores (detectados como: Trojan-Proxy.AndroidOS.Youzicheng) executa um proxy no dispositivo da vítima. “

Acredita-se que este aplicativo malicioso seja usado para ignorar o sistema de segurança no messenger ou na rede social relevante usando um servidor proxy no dispositivo da vítima para evitar a detecção e a solicitação ao site parecerá uma solicitação de uma conta legítima.

Para implementar esse método, um arquivo executável é primeiro baixado e executado no dispositivo de destino.

Esses dois ataques usados ​​pelos atacantes para evitar levantar suspeitas do Facebook e o atacante estão agora no estágio inicial.

Indicadores de compromisso

MD5

65a92baefd41eb8c1a9df6c266992730
f84a43b008a25ba2ba1060b33daf14a5
c907d74ace51cec7cb53b0c8720063e1
c9c252362fd759742ea9766a769dbabe
8312e7c626c79

Joao Atila
Joao Atila
Entusiasta de Segurança da Informação Gestão estratégica de TI Formação em Redes de Computadores DPO | PDPF | PDPP | Ceo in Vetor Technology

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.