Ένα νέο επικίνδυνο malware, το οποίο ανακαλύφθηκε από ερευνητές ασφαλείας και ονομάζεται Cookiethief, έχει σχεδιαστεί από κακόβουλους παράγοντες για να κλέψει cookies από προγράμματα περιήγησης και το Facebook, αποκτώντας πρόσβαση root σε Android συσκευές.
Το να αποκτήσουν οι hacker πρόσβαση σε cookies είναι ιδιαίτερα επικίνδυνο, δεδομένου ότι οι υπηρεσίες web τα χρησιμοποιούν για να αποθηκεύουν στη συσκευή ένα μοναδικό αναγνωριστικό περιόδου σύνδεσης, που μπορεί να αναγνωρίσει τον χρήστη χωρίς κωδικό πρόσβασης και σύνδεσης.
Το Cookiethief επηρεάζει το πρόγραμμα περιήγησης και την εφαρμογή Facebook, αλλά θα μπορούσε να κλέψει και αρχεία cookie οποιουδήποτε ιστότοπου από άλλες εφαρμογές με την ίδια μέθοδο.
Οι ερευνητές ασφαλείας, πιστεύουν ότι το κακόβουλο πρόγραμμα Cookiethief πιθανώς συνδέεται με γνωστά Trojans όπως τα Sivu, Triada και Ztorg.
Ένα επίμονο backdoor όπως το Bood, μαζί με τα βοηθητικά προγράμματα Cookiethief και Youzicheng, μπορούν να εισβάλουν σε μία συσκευή.
Διαδικασία επιμόλυνσης από το Cookiethief
Αρχικά, το com.lob.roblox, ένα πακέτο Cookiethief κατεβαίνει στη συσκευή Android, παρόμοιο με εκείνο του Roblox Android gaming client (com.roblox.client), αλλά δεν έχει καμία σχέση με αυτό.
Στη συνέχεια, το κακόβουλο λογισμικό συνδέεται με ένα backdoor που είναι εγκατεστημένο στο ίδιο smartphone για να εκτελέσει την εντολή και μετά από αυτό, περνάει μια εντολή Shell για εκτέλεση και ως αποτέλεσμα, ένα backdoor που ονομάζεται Bood θα γίνει drop σε ένα path /system/bin/.bood που βοηθά να χρησιμοποιηθεί ένας τοπικός server και να εκτελέσει τις εντολές που λαμβάνονται από το Cookiethief.
Αυτή η κακόβουλη εφαρμογή πιστεύεται ότι χρησιμοποιείται για την παράκαμψη του συστήματος ασφαλείας στο messenger ή το κοινωνικό δίκτυο, χρησιμοποιώντας ένα διακομιστή μεσολάβησης στη συσκευή του θύματος για να αποφευχθεί η ανίχνευση και το αίτημα στον ιστότοπο θα μοιάζει με αίτημα από έναν νόμιμο λογαριασμό.
Για να εφαρμοστεί αυτή η μέθοδος, ένα εκτελέσιμο αρχείο κατεβαίνει αρχικά και τρέχει στη στοχευμένη συσκευή.
Αυτές οι δύο επιθέσεις, χρησιμοποιούνται από τους κακόβουλους παράγοντες για να αποφύγουν την ανίχνευση από το Facebook και ο επιτιθέμενος μπορεί να ξεκινήσει την διαδικασία.
