Nowe szkodliwe oprogramowanie na systemie Android
Badacze z firmy Kaspersky wykryli dwie nowe modyfikacje szkodliwego oprogramowania dla systemu Android. Potrafią one kraść ciasteczka gromadzone przez przeglądarkę oraz aplikacje popularnych portali społecznościowych, a następnie umożliwiają złodziejom dyskretne przejęcie kontroli nad kontem ofiary.
Ciasteczka (zwane także plikami cookie) często są postrzegane jako pewna niewygoda przy przeglądaniu internetu, zawierają wiele ważnych danych gromadzonych w celach śledzenia aktywności online użytkowników. W przypadku gdy trafią w niepowołane ręce, mogą stanowić zagrożenie dla naszego bezpieczeństwa. Wynika to z tego, że podczas przechowywania takich ciasteczek strony internetowe wykorzystują unikatowy identyfikator sesji, który wskazuje na konkretnego użytkownika w przyszłości bez konieczności podania hasła czy loginu.
Będąc w posiadaniu wspomnianego identyfikatora, oszuści mogą sprawić, że strona internetowa weźmie ich za danego użytkownika, i przejąć kontrolę nad jego kontem. Właśnie tak postąpili złodzieje plików cookie, tworząc dwa trojany o bardzo podobnej budowie i kontrolowane przez ten sam serwer sterujący.
Pierwszy trojan uzyskuje prawa do katalogu głównego na urządzeniu ofiary, co pozwala złodziejom przesłać ciasteczka Facebooka na własne serwery.
Jednak samo posiadanie identyfikatora często nie wystarczy do przejęcia kontroli nad czyimś kontem. Niektóre strony internetowe stosują zabezpieczenia, które blokują podejrzane próby logowania się - na przykład gdy użytkownik, który wcześniej był aktywny w Chicago, zaledwie kilka minut później próbuje zalogować się z Bali.
I tu do akcji wkracza drugi trojan, który może uruchomić serwer proxy na urządzeniu ofiary w celu obejścia zabezpieczeń, uzyskując dostęp bez wzbudzania jakichkolwiek podejrzeń. Dzięki temu przestępcy mogą podszyć się pod ofiarę i przejąć kontrolę nad jej kontem na portalu społecznościowym w celu rozprzestrzeniania niepożądanej, często szkodliwej zawartości.
Chociaż ostateczny cel złodziei plików cookie pozostaje nieznany, pewną podpowiedzią może być strona wykryta na cyberprzestępczym serwerze, wykorzystywanym do kontrolowania trojanów - reklamuje ona usługi służące do rozprzestrzeniania spamu za pośrednictwem portali społecznościowych oraz komunikatorów. Innymi słowy, złodzieje mogą chcieć uzyskać dostęp do konta w celu przeprowadzenia szeroko zakrojonych kampanii spamowych oraz phishingowych.
