Pesquisadores descobriram um novo e poderoso malware para Android, chamado Cookiethief, que era usado por cibercriminosos para roubar cookies dos navegadores e do aplicativo do Facebook, adquirindo o acesso root no dispositivo Android da vítima.
Perder cookies para criminosos cibernéticos é perigoso, pois os serviços da web os usam para armazenar no dispositivo um ID de sessão exclusivo que pode identificar o usuário sem uma senha e fazer login.
Malware Cookiethief para Android obtém acesso root
Os cookies roubados permitem que os hackers obtenham a sessão dos sites e a usem para acessar a conta da vítima em nome deles para ganho pessoal.
Os pesquisadores acreditam que o malware Cookiethief possivelmente esteja vinculado a cavalos de Troia comuns como Sivu, Triada e Ztorg, que são um tipo de malware que explora as vulnerabilidades do sistema operacional para acessar as pastas do sistema.
Um backdoor persistente como o Bood, junto com os programas auxiliares Cookiethief e Youzicheng, pode acabar no dispositivo.
Processo de infecção do Cookiethief
Inicialmente, o com.lob.roblox, um nome de pacote do malware Cookiethief, cai no dispositivo Android semelhante ao do cliente de jogos Roblox para Android (com.roblox.client), mas não tem nada em comum com o Roblox.
Depois de instalado, o malware se conecta a um backdoor instalado no mesmo smartphone para executar o super comando.
Posteriormente, ele passa um comando do Shell que instala um backdoor chamado Bood. Por sua vez, ele será colocado no caminho /system/bin/.bood que ajuda a iniciar um servidor local e executa os comandos recebidos do Cookiethief.
Os pesquisadores descobriram que um servidor C2 usado neste ataque faz parte dos serviços de publicidade para distribuição de spam em redes sociais e mensageiros. Dessa maneira, isso dificulta a previsão da motivação desse ataque de malware nos usuários do Android.
Acredita-se que o aplicativo mal-intencionado seja usado para ignorar o sistema de segurança no mensageiro ou na rede social relevante. Para isso, ele usa um servidor proxy no dispositivo da vítima para evitar a detecção. Assim, a solicitação ao site parecerá uma solicitação de uma conta legítima.
Para implementar esse método, um arquivo executável é primeiro baixado e executado no dispositivo de destino.
Fonte: GB Hackers
