Les chercheurs de Kaspesky ont découvert deux nouvelles modifications de logiciels malveillants Android qui, lorsqu'elles sont combinées, peuvent voler les cookies collectés par les navigateurs des utilisateurs et les applications de réseaux sociaux pour permettre à un attaquant de contrôler secrètement les comptes d'une victime. Les cookies sont de petites données collectées par les sites Web afin de suivre l'activité en ligne d'un utilisateur afin de créer des expériences personnalisées à l'avenir. Entre de mauvaises mains, ils peuvent présenter un risque pour la sécurité, car les cookies utilisent un identifiant de session unique qui identifie les utilisateurs sans nécessiter de mot de passe ni de connexion. Une fois qu'ils possèdent l'identifiant d'un utilisateur, les attaquants peuvent faire croire aux sites Web qu'il s'agit de cette personne et prendre le contrôle de leur compte. C’est exactement ce que font ces deux nouveaux chevaux de Troie avec un codage similaire contrôlé par le même serveur de commande et de contrôle (C&C).
Vol de cookies.
Le premier cheval de Troie acquiert les droits root sur l'appareil d'une victime, permettant ainsi à un attaquant de transférer les cookies de Facebook vers ses propres serveurs. Cependant, le simple fait de disposer d’un numéro d’identification d’utilisateur ne suffit pas pour prendre le contrôle d’un compte dans certaines circonstances. Par exemple, certains sites Web disposent de mesures de sécurité pour empêcher les tentatives de connexion suspectes. C'est là qu'intervient le deuxième cheval de Troie, car il s'agit d'une application malveillante capable d'exécuter un serveur proxy sur l'appareil d'une victime pour contourner les mesures de sécurité et obtenir un accès sans éveiller les soupçons. . Cela permet à un attaquant de se faire passer pour la victime et de prendre le contrôle de ses comptes de réseaux sociaux pour diffuser du contenu indésirable. Le but des cybercriminels qui volent les cookies des utilisateurs est actuellement inconnu, mais une page trouvée sur le même serveur C&C peut fournir un indice. La page fait la promotion de services de distribution de spam sur les réseaux sociaux et les messageries, ce qui signifie que les attaquants pourraient chercher à accéder au compte pour lancer des attaques de spam et de phishing. L'analyste des logiciels malveillants de Kaspersky, Igor Golovine, a déclaré dans un communiqué de presse que, bien que nouvelle, cette menace est susceptible de continuer à croître : « En combinant deux attaques, les voleurs de cookies ont découvert un moyen de prendre le contrôle des comptes de leurs victimes sans éveiller les soupçons. est une menace relativement nouvelle - environ 1,000 XNUMX personnes seulement ont été attaquées jusqu'à présent - ce nombre augmente et continuera probablement à le faire, d'autant plus qu'il est très difficile à détecter pour les sites Web. nous naviguons sur le Web, ils constituent une autre façon de traiter nos informations personnelles, et chaque fois que des données nous concernant sont collectées en ligne, nous devons y prêter attention.