expertos en EI descubierto dos nuevos malware para Android (reconocido como el SO más vulnerable durante el último año), llamado Cookiethief y Youzicheng. Pueden robar cookies almacenadas en los navegadores de los teléfonos inteligentes y en aplicaciones de redes sociales populares., en particular facebook.
¿Cómo puede ser peligroso el robo de cookies?? Los servicios web con su ayuda "almacenan" en el dispositivo del usuario no solo varias configuraciones, sino también un identificador de sesión único que permite reconocer al usuario sin contraseña e iniciar sesión. De este modo, haber recibido una galleta, un atacante puede presentarse como un usuario desprevenido y utilizar su cuenta para sus propios fines.
Los atacantes desarrollaron dos programas maliciosos con un estilo de codificación similar y utilizando el mismo lenguaje C.&servidor C. Una vez instalado en el dispositivo, el Troyano ladrón de cookies recibe derechos de superusuario y transfiere los archivos cookie del navegador y de la aplicación de red social instalada al C&servidor C.
“El troyano que detectamos como Trojan-Spy.AndroidOS.Cookiethief resultó ser bastante simple. Su tarea principal es obtener derechos de root en el dispositivo y transferir las cookies del navegador y de la aplicación de Facebook al servidor atacante.. Para hacer esto, el malware no necesita una vulnerabilidad en el navegador o en la aplicación de Facebook, si necesario, podría robar la cookie de cualquier sitio de otras aplicaciones de la misma forma y con aproximadamente el mismo resultado”, – los expertos escriben.
Sin embargo, solo el identificador de sesión no es suficiente para tomar el control de la cuenta de otra persona. Por ejemplo, Los sistemas de seguridad de algunos sitios web evitan intentos de inicio de sesión sospechosos en el sistema.. Para tales casos, los delincuentes crearon un segundo malware – Youzicheng. Es capaz de iniciar un servidor proxy en el teléfono y proporcionar a los atacantes acceso a Internet desde el dispositivo de la víctima para evitar las medidas de seguridad..
Según los expertos, El malware no aprovecha las vulnerabilidades de un navegador móvil ni de una aplicación de red social., y los atacantes pueden robar cookies de cualquier sitio.
“Al combinar los dos tipos de ataques, Los atacantes encontraron una manera de obtener control sobre las cuentas de los usuarios sin causar sospechas.. Esta es una amenaza relativamente nueva., siempre y cuando no hayan estado expuestas más de mil personas. Este número está creciendo y, más probable, seguirá creciendo, dado que es difícil para los sitios web detectar este tipo de ataques”, – explicaron los expertos.
Según un informe pericial, Cookiethief puede asociarse con troyanos comunes como Página, Triada y Ztorg utilizando las direcciones de los servidores de control y las claves de cifrado utilizadas. Este malware a menudo se descarga en el "firmware" del dispositivo antes de que el usuario lo compre., o ingresa a las carpetas del sistema a través de vulnerabilidades del sistema operativo, y luego puede descargar aplicaciones arbitrarias en secciones del sistema.
Como resultado, el usuario puede tener una puerta trasera "indeleble" como bueno, junto con sus aplicaciones auxiliares Cookiethief y Youzicheng.
No estoy tratando de intimidarte, pero vale la pena recordar que 40% de dispositivos que utilizan versiones anteriores de Android have not received security updates recently.
