Phát hiện phần mềm ăn cắp cookie Android có thể chiếm đoạt tài khoản Facebook

Một loại phần mềm độc hại Android đơn giản nhưng nguy hiểm mới đã được tìm thấy trong tự nhiên đánh cắp cookie xác thực của người dùng khỏi trình duyệt web và các ứng dụng khác, bao gồm Chrome và Facebook, được cài đặt trên các thiết bị bị xâm nhập.

Được các nhà nghiên cứu của Kaspersky gọi là ” Cookiethief “, Trojan hoạt động bằng cách có được quyền root superuser trên thiết bị đích và sau đó, chuyển cookie bị đánh cắp sang máy chủ chỉ huy và kiểm soát từ xa (C2) do kẻ tấn công vận hành.

“Kỹ thuật lạm dụng này có thể không phải do lỗ hổng trong chính ứng dụng hoặc trình duyệt của Facebook”, các nhà nghiên cứu của Kaspersky cho biết. “Phần mềm độc hại có thể đánh cắp các tập tin cookie của bất kỳ trang web nào từ các ứng dụng khác theo cùng một cách và đạt được kết quả tương tự.”

Cookiethief: Chiếm tài khoản mà không cần mật khẩu

Cookie là những mẩu thông tin nhỏ thường được các trang web sử dụng để phân biệt người dùng này với người dùng khác, cung cấp tính liên tục trên web, theo dõi các phiên duyệt trên các trang web khác nhau, phục vụ nội dung được cá nhân hóa và chuỗi liên quan đến quảng cáo được nhắm mục tiêu.

Cho biết cách cookie trên thiết bị cho phép người dùng đăng nhập vào dịch vụ mà không phải đăng nhập nhiều lần, Cookiethief nhằm mục đích khai thác chính hành vi này để cho phép kẻ tấn công truy cập trái phép vào tài khoản nạn nhân mà không cần biết mật khẩu tài khoản trực tuyến thực sự của họ.

Các nhà nghiên cứu cho biết: “Bằng cách này, một tội phạm mạng được trang bị một cookie có thể tự biến mình thành nạn nhân không nghi ngờ và sử dụng tài khoản sau này để trục lợi cá nhân”.

Kaspersky đưa ra giả thuyết rằng có thể có một số cách mà Trojan có thể xuất hiện trên thiết bị – bao gồm cả việc cài phần mềm độc hại đó vào phần sụn thiết bị trước khi mua hoặc bằng cách khai thác lỗ hổng trong hệ điều hành để tải xuống các ứng dụng độc hại.

phần mềm độc hại Android hack mật khẩu chrome và facebook

Khi thiết bị bị nhiễm, phần mềm độc hại sẽ kết nối với cửa hậu, được đặt tên là ‘ Bood ‘, được cài đặt trên cùng một điện thoại thông minh để thực hiện các lệnh “siêu người dùng” tạo điều kiện cho việc đánh cắp cookie.

Làm thế nào để những kẻ tấn công bỏ qua bảo vệ đa cấp được cung cấp bởi Facebook?

Phần mềm độc hại Cookiethief không có tất cả dễ dàng, mặc dù. Facebook có các biện pháp bảo mật nhằm chặn mọi nỗ lực đăng nhập đáng ngờ, như từ địa chỉ IP, thiết bị và trình duyệt chưa từng được sử dụng để đăng nhập vào nền tảng trước đây.

Nhưng các tác nhân xấu đã khắc phục sự cố bằng cách tận dụng phần thứ hai của ứng dụng phần mềm độc hại có tên ‘ Youzicheng ‘, tạo ra một máy chủ proxy trên thiết bị bị nhiễm để mạo danh vị trí địa lý của chủ tài khoản để làm cho các yêu cầu truy cập trở nên hợp pháp.

“Bằng cách kết hợp hai cuộc tấn công này, tội phạm mạng có thể giành quyền kiểm soát hoàn toàn tài khoản của nạn nhân và không gây nghi ngờ từ Facebook”, các nhà nghiên cứu lưu ý.

phần mềm độc hại proxy Android

Vẫn chưa rõ những kẻ tấn công thực sự là gì sau đó, nhưng các nhà nghiên cứu đã tìm thấy một trang được tìm thấy trên các dịch vụ quảng cáo của máy chủ C2 để phát tán thư rác trên mạng xã hội và người đưa tin – dẫn đến kết luận rằng bọn tội phạm có thể tận dụng Cookiethief để chiếm quyền điều khiển phương tiện truyền thông xã hội của người dùng tài khoản để phát tán các liên kết độc hại hoặc duy trì các cuộc tấn công lừa đảo.

Trong khi Kaspersky phân loại cuộc tấn công là một mối đe dọa mới – chỉ có khoảng 1.000 cá nhân được nhắm mục tiêu theo cách này – thì cảnh báo rằng con số này đang “gia tăng” khi xem xét khó khăn trong việc phát hiện các cuộc xâm nhập như vậy.

Để an toàn trước các cuộc tấn công như vậy, người dùng khuyên bạn nên chặn cookie của bên thứ ba trên trình duyệt của điện thoại, xóa cookie thường xuyên,.

bình luận

Leave a Comment