Вредоносное ПО для кражи cookie-файлов на Android

--> Дата: Мар 19, 2020 39

По сообщению «Лаборатории Касперского», ее эксперты обнаружили две новые вредоносные программы для Android: вместе они способны красть файлы cookie, сохраненные в браузере на смартфонах и в приложениях популярных соцсетей, в частности, Facebook. В дальнейшем это позволяет злоумышленникам незаметно получать контроль над аккаунтом жертвы в социальной сети и распространять контент от ее лица.

Как поясняют в компании, когда веб-сайты запоминают пользователя, они сохраняют в файлах cookie уникальный ID сеанса, который позволяет идентифицировать человека в будущем. Получив такой ID, злоумышленники могут представиться жертвой и взять под контроль ее учетную запись. Именно для этого были разработаны два троянца с похожим стилем написания кода, использующие один и тот же управляющий сервер.

Первый троянец, попав на устройство, получает root-права и передает на сервер злоумышленников cookie-файлы браузера и установленного приложения социальной сети. Однако зачастую только ID сессии недостаточно для того, чтобы взять под контроль чужой аккаунт. У некоторых веб-сайтов предусмотрены меры безопасности, которые предотвращают подозрительные попытки входа в систему. Именно для таких случаев предназначен второй троянец, который может запустить прокси-сервер на телефоне и предоставить злоумышленникам доступ в интернет с устройства жертвы, чтобы обойти меры безопасности и войти в аккаунт, не вызывая подозрений.

Как утверждают эксперты, троянцы не эксплуатируют какие-либо уязвимости в мобильном браузере или приложении Facebook. Используя подобный метод, злоумышленники могут красть файлы cookie, сохраненные на любом сайте.

Конечная цель кражи файлов cookie остается неизвестной, но страница, обнаруженная на том же командном рекламирует услуги по распространению спама в социальных сетях и мессенджерах. Таким образом, злоумышленники могут пытаться получить доступ к чужим учетным записям для того, чтобы запускать масштабные спам- и фишинговые рассылки и атаки.

Как комментируют в «Лаборатории Касперского», это относительно новая угроза, пока ей подверглись не более 1000 человек, но их число растет и, скорее всего, будет продолжать расти, учитывая, что веб-сайтам трудно обнаруживать такие атаки.