نوع جدیدی از بدافزار اندرویدی کشف شده است که ساده اما خطرناک است و کوکیهای احراز هویت کاربران را از مرورگر وب و سایر برنامهها ازجمله کروم و فیسبوک نصبشده در دستگاههای آسیبدیده به سرقت میبرد.
این تروجان که پژوهشگران کسپرسکای آن را Cookiethief مینامند، با دستیابی به مجوزهای روت در دستگاه هدف کار میکند و سپس کوکیهای سرقتشده را به یک سرور فرمان و کنترل راه دور تحت کنترل مهاجمان انتقال میدهد.
پژوهشگران کسپرسکای بیان کردند که این روش بهرهبرداری بهخاطر وجود یک آسیبپذیری در برنامهی فیسبوک یا مرورگر نیست. این بدافزار با همان روش میتواند فایلهای کوکی هر وبگاهی را از سایر برنامهها به سرقت ببرد و به نتایج مشابهی دست یابد.
کوکیها قطعات کوچکی از اطلاعات هستند که وبگاهها اغلب برای ایجاد تمایز بین کاربران از آنها استفاده میکنند و در وب پیوستگی ارائه میدهند و نشستهای مرور را در وبگاههای مختلف ردیابی میکنند و محتوای شخصیسازیشده و رشتههای مرتبط با تبلیغات هدفمند ارائه میدهند.
با توجه به اینکه کوکیها در یک دستگاه به کاربران اجازه میدهند تا بدون تکرار فرآیند ورود در هر بار وارد سیستم شوند، Cookiethief قصد دارد تا از این رفتار سوءاستفاده کند تا به مهاجمان اجازه دهد که بدون داشتن گذرواژهی حسابهای آنلاین به دسترسی غیرمجاز به حسابهای قربانی دست یابند.
پژوهشگران بیان کردند که با این روش یک مجرم سایبری با داشتن یک کوکی میتواند خود را بهعنوان قربانی غیرمشکوک جا بزند و از حساب آن کاربر برای منافع شخصی استفاده کند.
کسپرسکای در نظریهی خود بیان میکند که ممکن است چندین راه وجود داشته باشد که این تروجان بتواند از طریق آن در دستگاه مستقر شود، مانند استقرار چنین بدافزاری در ثابتافزار دستگاه قبل از خرید، یا بهرهبرداری از آسیبپذیریهای موجود در سیستم عامل برای بارگیری برنامههای مخرب.
پس از آلوده شدن دستگاه، این بدافزار به یک درب پشتی به نام Bood که در همان گوشی هوشمند نصب شده است، متصل میشود تا دستورات superuser را که سرقت کوکی را تسهیل میکند، اجرا کند.
فیسبوک برای جلوگیری از هر گونه ورود مشکوک مانند ورود از آدرسهای آیپی، دستگاهها و مرورگرهایی که هرگز پیش از این برای ورود به این بستر استفاده نشده، تدابیر امنیتی اندیشیده است.
اما عاملان بد با استفاده از قطعهی دوم این بدافزار به نام Youzicheng که یک پراکسی سرور در دستگاه آلوده ایجادمیکند تا مکان جغرافیایی صاحب حساب را برای قانونی کردن درخواستهای دسترسی جعل کند، روی این موضوع کار کردهاند.
با ترکیب این دو حمله، مجرمان سایبری میتوانند به کنترل کامل حساب قربانی دست یابند و فیسبوک را به خود مشکوک نکنند.
هنوز مشخص نیست که مهاجمان واقعاً به دنبال چه چیزی هستند، اما پژوهشگران صفحهای را در خدمات تبلیغاتی سرور C2 یافتهاند که در شبکههای اجتماعی و پیامرسانها هرزنامه منتشر میکند و آنها را به این نتیجه میرساند که مجرمان سایبری میتوانند از Cookiethief برای سرقت حسابهای رسانهی اجتماعی کاربر به منظور انتشار لینکهای مخرب یا انجام حملات فیشینگ استفاده کنند.
کسپرسکای این حمله را بهعنوان یک تهدید جدید طبقهبندی کرده که حدود هزار کاربر را در تابستان سال گذشته هدف قرار داده است و هشدار میدهد که با توجه به سختی تشخیص چنین نفوذهایی، این تعداد رو به رشد است.
برای در امان ماندن از چنین حملاتی، به کاربران توصیه میشود که کوکیهای شخص ثالث را در مرورگر گوشی خود مسدود کنند و کوکیها را مرتباً پاک کنند و با استفاده از حالت مرور خصوصی از وبگاهها بازدید کنند.