Trojany wykradające cookies na FB

Trojany mają za zadanie przejąć kontrolę nad kontami użytkowników Facebooka, poprzez przechwytywanie plików cookie przeglądarki w systemie Android.

P

liki cookie przeglądarki próbują zaoszczędzić czas i wysiłek, zbierając określone informacje dotyczące często odwiedzanych witryn. Przechowując na przykład powiązany identyfikator sesji przeglądarki, pliki cookie oszczędzają koniecznoś wprowadzania danych logowania przy każdym otwarciu tej samej witryny. Tę samą wygodę wykorzystuje para trojanów ukierunkowanych na Androida odkryta przez Kaspersky.

Zobacz także: Nie bądź jak Bezos: jak uchronić telefon przed włamaniem

Trojan ten przechwytuje prawa roota (administratora) na urządzeniu z Androidem, umożliwiając mu w ten sposób kradzież plików cookie z przeglądarki i Facebooka oraz przeniesienie ich na serwer cyberprzestępców. Za pomocą skradzionych plików cookie ktoś może następnie podszyć się pod użytkownika w Internecie, aby uzyskać dostęp do konta tej osoby.

Obecna wersja tego trojana jest specyficzna dla Androida i kradnie pliki cookie z Chrome i domyślnej przeglądarki Androida. Chociaż trojan atakuje pliki cookie z Facebooka, kradzież nie jest wynikiem żadnej usterki w aplikacji Facebook lub w przeglądarce Android. Trojan taki może kraść pliki cookie dla dowolnej witryny społecznościowej lub innej witryny internetowej, według Kaspersky.

Samo użycie identyfikatora sesji ze skradzionych plików cookie może nie wystarczyć do przejęcia konta. W wielu przypadkach strony internetowe, takie jak Facebook, mają środki bezpieczeństwa zapobiegające podejrzanym próbom logowania. Ludzie odpowiedzialni za tę złośliwą aktywność wykazują wyjątkowy spryt. Pojawia się drugi trojan, który uruchamia serwer proxy na docelowym urządzeniu z Androidem, który następnie może ominąć wszelkie zabezpieczenia logowania wprowadzone przez zainfekowaną stronę.

Według firmy Kaspersky prawdziwy cel złodziei plików cookie jest nieznany. Strona znaleziona na ich serwerze Command & Control reklamuje usługi rozpowszechniania spamu w sieciach społecznościowych i komunikatorach. Oznacza to, że cyberprzestępcy mogą dążyć do naruszenia bezpieczeństwa kont mediów społecznościowych w celu przeprowadzenia spamu i ataków phishingowych.

„Łącząc dwa ataki, złodzieje plików cookie odkryli sposób na przejęcie kontroli nad kontami swoich ofiar bez wzbudzania podejrzeń” – powiedział w komunikacie prasowym analityk złośliwego oprogramowania Kaspersky Lab, Igor Golovin. „Chociaż jest to stosunkowo nowe zagrożenie – do tej pory zaatakowano tylko około 1 000 osób – liczba ta rośnie i najprawdopodobniej nadal będzie tak postępować, zwłaszcza że strony internetowe są tak trudne do wykrycia. Mimo że zazwyczaj „nie zwracamy uwagi na pliki cookie, gdy surfujemy po Internecie, są one nadal innym sposobem przetwarzania naszych danych osobowych, a za każdym razem, gdy dane o nas są gromadzone online, musimy zwracać na to uwagę”.

Aby chronić się przed tego rodzaju złośliwym oprogramowaniem, zaleca się:
• Zablokuj dostęp do plików cookie innych firm w przeglądarce internetowej telefonu i pozwól, aby Twoje dane były zapisywane, dopóki nie zamkniesz przeglądarki.
• Okresowo usuwaj pliki cookie.
• Korzystaj z oprogramowania zabezpieczającego dla systemu Android, który zawiera funkcję przeglądania prywatnego, która uniemożliwia stronom internetowym zbieranie informacji o Twojej aktywności online.

Golovin i inny ekspert ds. Bezpieczeństwa firmy Kaspersky Anton Kivva podzielili się dwiema dodatkowymi wskazówkami:
1) Pobieraj aplikacje tylko z zaufanych źródeł, takich jak oficjalne rynki.
2) Korzystanie z trybu przeglądania prywatnego w przeglądarce – to może zmniejszyć możliwość kradzieży plików cookie. Skuteczność przeglądania prywatnych plików cookie zależy od tego, jak funkcja jest zaimplementowana w używanej przeglądarce.

Załóż darmowe konto, i wypróbuj narzędzie z kreatorem własnego podejścia do tworzenia dokumentacji RODO