کشف بدافزار سرقت کوکی اندروید که حساب‌های فیس‌بوک را به سرقت می‌برد

نوع جدیدی از بدافزار اندرویدی کشف شده است که ساده اما خطرناک است و کوکی‌های احراز هویت کاربران را از مرورگر وب و سایر برنامه‌ها ازجمله کروم و فیس‌بوک نصب‌شده در دستگاه‌های آسیب‌دیده به سرقت می‌برد.

این تروجان که پژوهش‌گران کسپرسکای آن را Cookiethief می‌نامند، با دست‌یابی به مجوزهای روت در دستگاه هدف کار می‌کند و سپس کوکی‌های سرقت‌شده را به یک سرور فرمان و کنترل راه دور تحت کنترل مهاجمان انتقال می‌دهد.

پژوهش‌گران کسپرسکای بیان کردند که این روش بهره‌برداری به‌خاطر وجود یک آسیب‌پذیری در برنامه‌ی فیس‌بوک یا مرورگر نیست. این بدافزار با همان روش می‌تواند فایل‌های کوکی هر وب‌گاهی را از سایر برنامه‌ها به سرقت ببرد و به نتایج مشابهی دست یابد.

کوکی‌ها قطعات کوچکی از اطلاعات هستند که وب‌گاه‌ها اغلب برای ایجاد تمایز بین کاربران از آن‌ها استفاده می‌کنند و در وب پیوستگی ارائه می‌دهند و نشست‌های مرور را در وب‌گاه‌های مختلف ردیابی می‌کنند و محتوای شخصی‌سازی‌شده و رشته‌های مرتبط با تبلیغات هدفمند ارائه می‌دهند.

با توجه به این‌که کوکی‌ها در یک دستگاه به کاربران اجازه می‌دهند تا بدون تکرار فرآیند ورود در هر بار وارد سیستم شوند، Cookiethief قصد دارد تا از این رفتار سوء‌استفاده کند تا به مهاجمان اجازه دهد که بدون داشتن گذرواژه‌ی حساب‌های آنلاین به دسترسی غیرمجاز به حساب‌های قربانی دست یابند.

پژوهش‌گران بیان کردند که با این روش یک مجرم سایبری با داشتن یک کوکی می‌تواند خود را به‌عنوان قربانی غیرمشکوک جا بزند و از حساب آن کاربر برای منافع شخصی استفاده کند.

کسپرسکای در نظریه‌ی خود بیان می‌کند که ممکن است چندین راه وجود داشته باشد که این تروجان بتواند از طریق آن در دستگاه مستقر شود، مانند استقرار چنین بدافزاری در ثابت‌افزار دستگاه قبل از خرید، یا بهره‌برداری از آسیب‌پذیری‌های موجود در سیستم عامل برای بارگیری برنامه‌های مخرب.

پس از آلوده شدن دستگاه، این بدافزار به یک درب پشتی به نام Bood که در همان گوشی هوشمند نصب شده است، متصل می‌شود تا دستورات superuser را که سرقت کوکی را تسهیل می‌کند، اجرا کند.

فیس‌بوک برای جلوگیری از هر گونه ورود مشکوک مانند ورود از آدرس‌های آی‌پی، دستگاه‌ها و مرورگرهایی که هرگز پیش از این برای ورود به این بستر استفاده نشده، تدابیر امنیتی اندیشیده است.

اما عاملان بد با استفاده از قطعه‌ی دوم این بدافزار به نام Youzicheng که یک پراکسی سرور در دستگاه آلوده ایجادمی‌کند تا مکان جغرافیایی صاحب حساب را برای قانونی کردن درخواست‌های دسترسی جعل کند، روی این موضوع کار کرده‌اند.

با ترکیب این دو حمله، مجرمان سایبری می‌توانند به کنترل کامل حساب قربانی دست یابند و فیس‌بوک را به خود مشکوک نکنند.

هنوز مشخص نیست که مهاجمان واقعاً به دنبال چه چیزی هستند، اما پژوهش‌گران صفحه‌ای را در خدمات تبلیغاتی سرور C2 یافته‌اند که در شبکه‌های اجتماعی و پیام‌رسان‌ها هرزنامه منتشر می‌کند و آن‌ها را به این نتیجه می‌رساند که مجرمان سایبری می‌توانند از Cookiethief برای سرقت حساب‌های رسانه‌ی اجتماعی کاربر به منظور انتشار لینک‌های مخرب یا انجام حملات فیشینگ استفاده کنند.

کسپرسکای این حمله را به‌عنوان یک تهدید جدید طبقه‌بندی کرده که حدود هزار کاربر را در تابستان سال گذشته هدف قرار داده است و هشدار می‌دهد که با توجه به سختی تشخیص چنین نفوذهایی، این تعداد رو به رشد است.

برای در امان ماندن از چنین حملاتی، به کاربران توصیه می‌شود که کوکی‌های شخص ثالث را در مرورگر گوشی خود مسدود کنند و کوکی‌ها را مرتباً پاک کنند و با استفاده از حالت مرور خصوصی از وب‌گاه‌ها بازدید کنند.

منبع

پست‌های مشابه

Leave a Comment