Malware Android sequestra contas do Facebook. Foi encontrado um novo malware Android, que rouba cookies de autenticação de seus usuários na web e de outros aplicativos, incluindo Chrome e Facebook, instalados em dispositivos que foram comprometidos.
O malware ganhou o apelido de “cookiethief” dos pesquisadores da Kaspersky, o malware conseguindo direitos de root no dispositivo de destino, logo em seguida transfere cookies roubados para um servidor remoto de controle e comando (C2) operado por atacantes. “C2 são ferramentas que ajudam a esconder a infraestrutura usada para controlar o malware usado em um ataque.“
Segundo os pesquisadores das Kaspersky essa técnica não é possível só por conta de alguma vulnerabilidade no aplicativo do Facebook ou no próprio navegador, o malware pode roubar cookies de qualquer site de outros aplicativos da mesma maneira e obter resultados muito semelhantes.
Cookies são arquivos de texto simples, enviados pelo site ao navegador, na primeira vez que você o visita. Em seu próximo acesso, o navegador reenvia os dados ao site para que suas informações sejam configuradas de forma automática. É por isso que você não precisa digitar seu e-mail e senha toda vez que acessa o Facebook. São pequenas informações utilizadas frequentemente pelos sites para diferenciar um usuário de outro, oferecer continuidade na web, acompanhar sessões de navegação em sites diferentes, exibir conteúdo personalizado e strings relacionadas a anúncios direcionados.
O cookiethief visa explorar esse comportamento para permitir que os invasores obtenham acesso não autorizado às contas das vítimas sem conhecer suas senhas reais das contas. Dessa forma, um cibercriminoso “armado” com um cookie pode se passar por vítima inocente e usar a conta deste para obter ganhos pessoais.
Segundo os pesquisadores da Kaspersky podem haver várias maneiras de o malware parar no dispositivo, incluindo que o malware seja plantado no firmware do dispositivo antes da compra ou explorar vulnerabilidade no sistema operacional para baixar aplicativos maliciosos.
Após o dispositivo ser infectado, o malware se conecta a um backdoor denominado ‘Bood’, instalado no mesmo smartphone para executar comandos de root que facilitam o roubo de cookies.
O Facebook possui medidas de segurança para bloquear qualquer tentativa de login suspeita, como endereços IP, dispositivos e navegadores que nunca haviam sido usados para fazer login na plataforma antes. Mas os atacantes resolveram o problema, aproveitando o segundo aplicativo de malware, chamado ‘Youzicheng’, que cria um servidor proxy no dispositivo infectado para representar a localização geográfica do proprietário da conta e tornar legítimas as solicitações de acesso.
Ao combinar ambos os ataques, cibercriminosos podem obter controle total sobre a conta da vítima e não levantar suspeitas do Facebook, observam os pesquisadores.
Ainda não está claro o que os atacantes realmente buscam, mas os pesquisadores encontraram uma página nos serviços de publicidade do servidor C2 para distribuição de spam em redes sociais, levando à conclusão de que os criminosos poderiam aproveitar o Cookiethief para sequestrar contas dos usuários para espalhar links malicioso ou perpetuar ataques de phishing.
A Kaspersky classificou tal ataque como uma nova ameaça, com apenas cerca de 1.000 indivíduos visados dessa maneira, alertou que esse número está crescendo, considerando a dificuldade em detectar tais invasões.
Para se proteger de tais ataques, é recomendável que os usuários bloqueiem os cookies de terceiros no navegador do telefone, limpe-os regularmente.
Por: Celso Faquer Fonte: thehackernews
Veja também:
- Hackers atacam EDP e pedem resgate de 10 Milhões de Euros
- Liberação do Home Office gera obrigação de documentação e contratos
- Live: Proteção de Endpoints Rápida, Simples e em Larga Escala
- Erros de funcionários são responsáveis por 54% das ameaças a dados confidenciais das empresas
- Linux sob ataque a mais de uma década!
- Falha grave no Exchange ainda afeta mais de 350 mil servidores
- Accenture adquire startup de segurança cibernética Revolutionary Security
- Backdoor em aplicativos Android disponíveis para Download
- Zoom apresenta falhas e compromete sigilo das reuniões !
- Efeito Coronavírus – Senado adia lei de proteção de dados para jan/2021
- Ataque cibernético paralisa centro de testes de coronavírus
- Vollgar ataca servidores MS-SQL
Deixe sua opinião!