Новые вредоносные программы для Android подкрадываются к Facebook

Две модификации вредоносных программ, если их объединить, могут использовать куки, собираемые браузерами и приложениями социальных сетей.

Кто украл печенье из банки Facebook? Исследователи обнаружили виновника так называемого вредоносного ПО «Cookiethief», нового вида вредоносного ПО Android, которое может дать киберпреступникам средства для кражи файлов cookie, собираемых браузерами и приложениями социальных сетей.

Исследователи «Лаборатории Касперского» обнаружили две модификации вредоносных программ для Android. В совокупности они нацелены на защиту корневых прав на целевом устройстве и передачу файлов cookie из браузера и приложения Facebook на сервер управления и контроля (C2). Исследователи не определили, как троянец приземляется на целевые устройства, но говорят, что причина не в недостатке Facebook или самого браузера.

Веб-сайты используют файлы cookie для хранения уникальных идентификаторов сеансов, поэтому пользователи могут повторно посещать одни и те же веб-службы, не выполняя вход несколько раз. Кто-то, кто крадет cookie-файл, может использовать его как личность и злоупотреблять своим аккаунтом в злонамеренных целях, рассказывает аналитик по антивирусам «Лаборатории Касперского» Антон Кивва и исследование безопасности Игорь Головин в своем блоге об обнаружении вредоносного ПО.

Киберпреступники стремятся сделать это путем создания двух троянов с одинаковыми кодовыми базами, которые управляются одним и тем же сервером C2. Комбинация позволяет им захватывать социальные учетные записи без предупреждения Facebook и отправлять вредоносный контент. 

Неизвестно, какова конечная цель нападающих; однако страница на сервере C2 рекламирует сервисы для рассылки спама в социальных сетях. 

Считается, что злоумышленники хотят получить доступ к учетной записи, чтобы они могли запускать спам и фишинговые кампании. Исследователи объясняют, что первый троян получает права root на целевом устройстве, что позволяет злоумышленникам отправлять файлы cookie на серверы, которые они контролируют. 

Исследователи отмечают, что иногда одного идентификационного номера недостаточно, чтобы позволить противнику захватить аккаунт в социальной сети. На некоторых веб-сайтах, включая Facebook, предусмотрены защитные меры, предназначенные для блокировки подозрительных входов в систему, например, когда пользователь, который был активен в Нью-Йорке, вновь появляется через несколько минут в Лондоне.

Вот почему злоумышленники создали второй троян, который они называют Youzicheng и предположительно от тех же разработчиков. Это вредоносное приложение, которое может запускать прокси-сервер на целевом устройстве для обхода мер безопасности социальной сети. 

Второй троянец позволяет злоумышленникам запрашивать доступ к веб-сайту, одновременно являясь законным владельцем аккаунта.

«Эти угрозы только начинают распространяться, и число жертв, по нашим данным, не превышает 1000, но цифра растет», - объясняют исследователи .

Они связали вредоносное ПО Cookiethief с широко распространенными троянами, включая Sivu, Triada и Ztorg. 

Они утверждают, что этот тип вредоносного ПО внедряется в прошивку устройства до его покупки. Злоумышленники также могут использовать уязвимости в операционной системе, чтобы поместить вредоносное ПО в системные папки, где оно может загружать в систему различные приложения. Именно так программы, такие как Cookiethief и Youzicheng, могут попасть на целевое устройство, говорят исследователи.