Se ha encontrado una nueva variedad de malware de Android capaz de copiar las cookies de autentificación de usuarios de navegación web y otras aplicaciones instaladas en los dispositivos comprometidos, incluidas Chrome y Facebook.
Los investigadores de Kaspersky han denominado como Cookiethief al nuevo troyano capaz de adquirir privilegios de superusuario en el dispositivo y, posteriormente, transferir las cookies robadas a un servidor remoto de comando y control (C&C) operado por el atacante.
Las cookies son pequeñas piezas de información que los sitios web utilizan a menudo para diferenciar a un usuario de otro, ofrecer continuidad en la web, rastrear sesiones de navegación en diferentes sitios web, servir contenido personalizado o anuncios dirigidos. Dado que las cookies en un dispositivo permiten a los usuarios permanecer conectados a un servicio sin tener que iniciar sesión repetidamente. Cookiethief tiene como objetivo explotar este mismo de comportamiento, para ello, permite a los atacantes obtener acceso no autorizado a las cuentas de las víctimas sin necesidad de conocer su contraseña.
Existen varias formas en que el troyano podría infectar el dispositivo, incluida la implantación en el firmware del dispositivo antes de la compra o la explotación de vulnerabilidades en el sistema operativo para descargar aplicaciones maliciosas. Una vez que el dispositivo está infectado, el malware se conecta a una puerta trasera, denominada ‘Bood’, instalada en el mismo teléfono inteligente para ejecutar comandos de superusuario que faciliten el robo de cookies.
Un de los aspectos más llamativos es como consigue el robo de sesión para Facebook, ya que la empresa de Mark Zuckerberg tiene medidas de seguridad para bloquear cualquier intento de inicio de sesión sospechoso, como direcciones IP, dispositivos y navegadores que nunca antes se habían utilizado para iniciar sesión en la plataforma. Pero este malware resuelve el problema aprovechando una funcionalidad llamada ‘Youzicheng’, que crea un servidor proxy en el dispositivo infectado para suplantar la ubicación geográfica del propietario de la cuenta para que las solicitudes de acceso parezcan legítimas.
La combinación del robo de cookies de autentificación junto con la suplantación de ubicación mediante proxy permite al ciberdelicuente obtener un control completo sobre la cuenta de la víctima sin levantar sospechas por parte de Facebook.
Hasta ahora solo se ha identificado una página para distribuir spam en redes sociales y de mensajería, por lo que se sospecha que Cookiethief puede estar diseñado para secuestrar las redes sociales de los usuarios y emplear sus cuentas para difundir enlaces maliciosos o perpetuar ataques de phishing.
Para estar a salvo de este tipo de ataques, se recomienda que se bloqueen las cookies de terceros en el navegador del teléfono, que se borren regularmente y que se visiten los sitios web utilizando el modo de navegación privada.
Mas información:
Deja una respuesta