Novi jednostavni ali opasni soj malwarea za Android iz preglednika može ‘krasti’ korisnikove kolačiće za autentifikaciju, a na meti su mu aplikacije uključujući Chrome i Facebook. Kasperskyjevci su malware nazvali ‘Cookiethief’ te ga kategorizirali pod trojance, prenosi The Hacker News.
Cookiethief radi tako da prvo preuzme super-korisničke ovlasti na uređaj i nakon toga pošalje ukradene kolačiće udaljenom command-and-control serveru (C2) koji je pod kontrolom napadača.
‘Ova tehnika vjerojatno ne postoji zbog propusta u Facebooku ili pregledniku’ pišu iz Kasperskyja te nastavljaju ‘malware može krasti kolačiće s bilo koje stranice ili aplikacije i postići identične rezultate’.
Kolačići ili Cookies su mali paketići informacija koje internetske stranice koriste kako bi prepoznali korisnika, pružali mu jedinstveni sadržaj i načelno – sakupljali informacije koje koriste za ciljano reklamiranje i među ostalim – financijsku egzistenciju. S obzirom da ti isti kolačići olakšavaju svakodnevno korištenje tako da korisnike ‘zadrže prijavljenima’ na neke stranice, Cookiethief to zlorabi tako da napadačima pruža ulazak u korisničke račune bez potrebe za krađom lozinke.
Kaspersky pretpostavlja da ova vrsta trojanca na uređaj dolazi na nekoliko načina – tako da ga hakeri instaliraju prije nego što uopće kupite uređaj ili zlouporabom ranjivosti operativnog sustava. Nakon što se sustav inficira, malware se spaja na stražnji ulaz pod imenom Bood, instaliran na istom smartfonu. Boodov zadatak je izvršiti ‘super-korisničke’ naredbe koje pokreću krađu kolačića.
Kako napadači zaobilaze složene sustave zaštite?
Cookiethief malware, zahvaljujući naprednim metodama zaštite podataka, nema jednostavni zadatak. Facebook ima nekoliko sigurnosnih sustava koji prepoznaju čudne IP adrese, uređaje i preglednike koji pokušavaju pristupiti profilu. Stranica, naime, može razlikovati IP adresu i preglednik kojeg koriste napadači od onog kojeg koristi žrtva.
Kao što to obično ide u natjecanju u naoružanju, hakeri su razvili drugi malware pod imenom ‘Youzicheng’ koji stvara proxy server na inficiranom uređaju kako bi imitirao lokaciju korisnika i prijavu pokušao pretvoriti u ‘legitimnu’. ‘Kombiniranjem ova dva napada cyber kriminalci mogu preuzeti nečiji profil bez da uzbude Facebook’ kažu iz Kasperskyja.
Analitičarima iz Kasperskyja još nije nasno na koji način napadač može zlorabiti oteti profil, no pretpostavljaju da bi jedna od metoda bilo širenje opasnih poveznica koje korisnike navlače na phishing napade.
Metoda prevencije?
Premda je Kaspersky ovaj malware definirao kao novu prijetnju koja je zahvatila svega 1000 korisnika, kompanija upozorava da bi se s vremenom taj broj mogao povećati. Kako bi se osigurali od ove vrste napada, korisnicima se preporuča da blokiraju kolačiće od treće strane, redovito brišu one koji se nalaze u uređaju te konačno – stranice posjećuju u inkognito modu.