Cookiethief – Malware Android que obtém acesso root para roubar cookies do navegador e do aplicativo de Facebook.
Pesquisadores descobriram um novo e poderoso malware para Android chamado “Cookiethief”, lançado por criminosos cibernéticos desconhecidos para roubar cookies dos navegadores e do aplicativo do Facebook, adquirindo o acesso root no dispositivo Android da vítima.
Perder cookies para criminosos cibernéticos é mortalmente perigoso, pois os serviços da Web os usam para armazenar no dispositivo um ID de sessão exclusivo que pode identificar o usuário sem uma senha e fazer login.
Os cookies roubados permitem que os hackers obtenham a sessão dos sites e a usem para acessar a conta da vítima em nome deles para ganho pessoal.
O malware Cookiethief que abusou do navegador e do aplicativo do Facebook não por causa da vulnerabilidade, mas o malware pode roubar arquivos de cookies de qualquer site de outros aplicativos e o mesmo método usado no ataque para roubar os cookies.
Os pesquisadores acreditam que o malware Cookiethief possivelmente esteja vinculado a cavalos de Troia comuns como Sivu, Triada e Ztorg, que são um tipo de malware que explora as vulnerabilidades do sistema operacional para acessar as pastas do sistema.
Um backdoor persistente como o Bood, junto com os programas auxiliares Cookiethief e Youzicheng, pode acabar no dispositivo.
O malware Cookiethief detecta como “com.lob.roblox como HEUR: Trojan-Spy.AndroidOS.Cookiethief ., Org.rabbit como HEUR: Trojan-Proxy.AndroidOS.Youzicheng e Bood como HEUR: Backdoor.AndroidOS.Bood.a .
Processo de infecção por Cookiethief
Inicialmente, o com.lob.roblox, um nome de pacote do malware Cookiethief, cai no dispositivo Android semelhante ao do cliente de jogos Roblox para Android (com.roblox.client), mas não tem nada em comum com o Roblox.
Uma vez descartado, o malware se conecta a um backdoor instalado no mesmo smartphone para executar o super comando.
Posteriormente, ele passa um comando do Shell para execução como resultado, um backdoor chamado Bood será colocado no caminho /system/bin/.bood que ajuda a iniciar um servidor local e executa os comandos recebidos do Cookiethief.
Os pesquisadores descobriram que um servidor C2 usado neste ataque faz parte dos serviços de publicidade para distribuição de spam em redes sociais e mensageiros, o que dificulta a previsão da motivação desse ataque de malware nos usuários do Android.
De acordo com a pesquisa da Kaspersky ”No entanto, durante nossa análise do Cookiethief, descobrimos outro aplicativo malicioso com um estilo de codificação muito semelhante e o mesmo servidor C&C. O segundo “produto” dos (presumivelmente) os mesmos desenvolvedores (detectados como: Trojan-Proxy.AndroidOS.Youzicheng) executa um proxy no dispositivo da vítima. “
Acredita-se que este aplicativo malicioso seja usado para ignorar o sistema de segurança no messenger ou na rede social relevante usando um servidor proxy no dispositivo da vítima para evitar a detecção e a solicitação ao site parecerá uma solicitação de uma conta legítima.
Para implementar esse método, um arquivo executável é primeiro baixado e executado no dispositivo de destino.
Esses dois ataques usados pelos atacantes para evitar levantar suspeitas do Facebook e o atacante estão agora no estágio inicial.
Este site usa cookies para que possamos fornecer a melhor experiência possível para o usuário. As informações dos cookies são armazenadas no seu navegador e executam funções como reconhecê-lo quando você retorna ao nosso site e ajuda a nossa equipe a entender quais seções do site você considera mais interessantes e úteis.
Cookies estritamente necessários
Cookies estritamente necessários devem estar sempre ativados para que possamos salvar suas preferências para configurações de cookies.
Se você desativar este cookie, não poderemos salvar suas preferências. Isso significa que toda vez que você visitar este site, será necessário ativar ou desativar os cookies novamente.
Cookies de Terceiros
Este site usa o Google Analytics para coletar informações anônimas, como o número de visitantes do site e as páginas mais populares. Manter este cookie ativado nos ajuda a melhorar nosso site.
Por favor, habilite os cookies estritamente necessários primeiro para que possamos salvar suas preferências!