Kyberzločinci kradou cookies na Androidech
13. 3. 2020
Kyberzločinci kradou cookies na Androidech

Odborníci společnosti Kaspersky objevili dvě nové modifikace malwaru pro Android. Jejich kombinace umožňuje kyberzločincům krást cookies shromážděné prohlížečem a aplikacemi oblíbených sociálních sítí. Kvůli tomu mohou zloději diskrétně získat kontrolu nad účtem oběti a rozesílat další škodlivý obsah.

Cookies jsou malé kusy dat shromažďované webovými stránkami, které slouží ke sledování online aktivity uživatelů a následnému vytvoření personalizovaného obsahu. Přestože jsou často vnímány jako neškodné, mohou ve špatných rukách představovat bezpečnostní riziko. Když totiž webové stránky ukládají tyto soubory cookies, používají unikátní identifikátor relace, který uživatele identifikuje v budoucnu bez nutnosti přihlašovacích údajů. Poté, co se podvodníkům dostane do rukou identifikátor uživatele, mohou oklamat webové stránky, aby si myslely, že jsou ve skutečnosti oprávněným uživatelem, a tak převezmou kontrolu nad jejich účtem. Přesně k tomuto scénáři došlo v případě nově objevených modifikací. Zloději cookies vyvinuli podobně naprogramovaného trojského koně, který je řízený stejným příkazovým a kontrolním serverem.

Trojský kůň jako první získá rootovací práva k zařízení oběti. To umožní zlodějům posílat soubory cookies Facebooku na své vlastní servery.

Mít pouze identifikační číslo k převzetí kontroly nad cizím účtem ale často nestačí. Některé webové stránky mají bezpečnostní opatření, která zabraňují podezřelým pokusům o přihlášení. Například když se uživatel, který byl dříve aktivní v Chicagu, pokusí přihlásit z Bali o pár minut později.

Zde přichází na řadu druhý trojský kůň. Tato škodlivá aplikace může na zařízení spustit proxy server, čímž obejde bezpečnostní opatření a získá přístup k účtu, aniž by došlo k jakémukoliv podezření. Od toho momentu se mohou podvodníci vydávat za svoji oběť a převzít kontrolu nad jejím účtem za účelem šíření škodlivého obsahu.

Zatímco záměr těchto zlodějů není zatím jasný, stránka odkrytá na stejném C&C serveru by mohla poskytnout nápovědu: stránka inzeruje služby pro distribuci spamu na sociálních sítích a aplikacích pro zasílání zpráv. Jinými slovy mohou zloději přístup k cizímu účtu zneužít k zahájení rozsáhlých spamových a phisingových útoků.

„Spojením dvou útoků objevili zloději souborů Cookies způsob, jak získat kontrolu nad účtem svých obětí, aniž by vzbudili podezření. I když se jedná o relativně novou hrozbu, dosud bylo napadeno kolem 1 000 osob, máme obavy, že počet obětí bude nadále stoupat. Pro webové stránky je totiž velmi těžké podvodníky odhalit. Přestože při surfování po internetu obvykle souborům Cookies nevěnujeme pozornost, jsou stále prostředkem pro shromažďování údajů – a tomu by lidé rozhodně měli věnovat pozornost,“ říká malwarový analytik Igor Golovin ze společnosti Kaspersky.

Další informace o zlodějích cookies se dozvíte na blogu Securelist.

Zde je několik tipů odborníků Kaspersky, jak mohou uživatelé zabránit tomu, aby se stali obětí krádeže souborů Cookies:

  • Blokujte přístup souborům cookies třetích stran ve webovém prohlížeči vašeho telefonu a svá data nechte ukládat jen když je prohlížeč otevřený.
  • Pravidelně mažte soubory cookies.
  • Používejte spolehlivá bezpečnostní řešení, která obsahují funkci soukromého prohlížení, která zabraňuje webům shromažďovat informace o vaší online aktivitě.