in

Malware Cookiethief para Android obtém acesso root para roubar cookies do navegador e do aplicativo do Facebook

Os cookies roubados permitem que os hackers obtenham a sessão dos sites e a usem para acessar a conta da vítima em nome deles para ganho pessoal.

Malware Cookiethief para Android obtém acesso root para roubar cookies do navegador e do aplicativo do Facebook
Imagem: Reprodução | GB Hackers.

Pesquisadores descobriram um novo e poderoso malware para Android, chamado Cookiethief, que era usado por cibercriminosos para roubar cookies dos navegadores e do aplicativo do Facebook, adquirindo o acesso root no dispositivo Android da vítima.

Perder cookies para criminosos cibernéticos é perigoso, pois os serviços da web os usam para armazenar no dispositivo um ID de sessão exclusivo que pode identificar o usuário sem uma senha e fazer login.

Malware Cookiethief para Android obtém acesso root

Os cookies roubados permitem que os hackers obtenham a sessão dos sites e a usem para acessar a conta da vítima em nome deles para ganho pessoal.

Os pesquisadores acreditam que o malware Cookiethief possivelmente esteja vinculado a cavalos de Troia comuns como Sivu, Triada e Ztorg, que são um tipo de malware que explora as vulnerabilidades do sistema operacional para acessar as pastas do sistema.

Um backdoor persistente como o Bood, junto com os programas auxiliares Cookiethief e Youzicheng, pode acabar no dispositivo.

Processo de infecção do Cookiethief

Inicialmente, o com.lob.roblox, um nome de pacote do malware Cookiethief, cai no dispositivo Android semelhante ao do cliente de jogos Roblox para Android (com.roblox.client), mas não tem nada em comum com o Roblox.

Depois de instalado, o malware se conecta a um backdoor instalado no mesmo smartphone para executar o super comando.

Malware Cookiethief para Android obtém acesso root para roubar cookies do navegador e do aplicativo do Facebook
Recursos maliciosos do Trojan-Spy.AndroidOS.Cookiethief. Imagem: GB Hackers.

Posteriormente, ele passa um comando do Shell que instala um backdoor chamado Bood. Por sua vez, ele será colocado no caminho /system/bin/.bood que ajuda a iniciar um servidor local e executa os comandos recebidos do Cookiethief.

Os pesquisadores descobriram que um servidor C2 usado neste ataque faz parte dos serviços de publicidade para distribuição de spam em redes sociais e mensageiros. Dessa maneira, isso dificulta a previsão da motivação desse ataque de malware nos usuários do Android.

Acredita-se que o aplicativo mal-intencionado seja usado para ignorar o sistema de segurança no mensageiro ou na rede social relevante. Para isso, ele usa um servidor proxy no dispositivo da vítima para evitar a detecção. Assim, a solicitação ao site parecerá uma solicitação de uma conta legítima.

Para implementar esse método, um arquivo executável é primeiro baixado e executado no dispositivo de destino.

Fonte: GB Hackers

Escrito por Leonardo Santana

Profissional da área de manutenção e redes, astrônomo amador, eletrotécnico e apaixonado por TI desde o século passado.

Veja alguns jogos gratuitos para Linux

Veja alguns jogos gratuitos para Linux

Debian 10 Buster corrige 5 vulnerabilidades no Kernel

Debian Installer Bullseye Alpha 2 lançado com Linux 5.4