Eksperci z firmy Kaspersky wykryli dwie nowe modyfikacje szkodliwego oprogramowania dla systemu Android, które potrafią kraść ciasteczka gromadzone przez przeglądarkę oraz aplikacje popularnych portali społecznościowych.
Następnie umożliwiają złodziejom dyskretne przejęcie kontroli nad kontem ofiary w celu rozprzestrzeniania szkodliwej zawartości. Ciasteczka (zwane także plikami cookie) zawierają dane gromadzone przez strony internetowe w celu śledzenia
aktywności online użytkowników, aby zapewnić im w przyszłości wygodniejsze korzystanie z danego zasobu. Chociaż często postrzegane są wyłącznie w kategorii niedogodności, jeśli trafią w niepowołane ręce, mogą stanowić zagrożenie dla bezpieczeństwa. Wynika to z tego, że podczas przechowywania takich ciasteczek strony internetowe wykorzystują unikatowy identyfikator sesji, który wskazuje na konkretnego użytkownika w przyszłości bez konieczności podania hasła czy loginu.
Będąc w posiadaniu identyfikatora użytkownika, oszuści mogą sprawić, że strona internetowa weźmie ich za takiego użytkownika, i przejąć kontrolę nad jego kontem. Właśnie tak postąpili złodzieje plików cookie, tworząc dwa trojany o bardzo podobnej budowie i kontrolowane przez ten sam serwer sterujący.
Pierwszy trojan uzyskuje prawa do katalogu głównego na urządzeniu ofiary, co pozwala złodziejom przesłać ciasteczka Facebooka na własne serwery.
Jednak samo posiadanie identyfikatora często nie wystarczy do przejęcia kontroli nad czyimś kontem. Niektóre strony internetowe stosują zabezpieczenia, które blokują podejrzane próby logowania się – na przykład gdy użytkownik, który wcześniej był aktywny w Chicago, zaledwie kilka minut później próbuje zalogować się z Bali.
I tu do akcji wkracza drugi trojan, który może uruchomić serwer proxy na urządzeniu ofiary w celu obejścia zabezpieczeń, uzyskując dostęp bez wzbudzania jakichkolwiek podejrzeń. Dzięki temu przestępcy mogą podszyć się pod ofiarę i przejąć kontrolę nad jej kontem na portalu społecznościowym w celu rozprzestrzeniania niepożądanej, często szkodliwej zawartości.
Chociaż ostateczny cel złodziei plików cookie pozostaje nieznany, pewną podpowiedzią może być strona wykryta na cyberprzestępczym serwerze, wykorzystywanym do kontrolowania trojanów – reklamuje ona usługi służące do rozprzestrzeniania spamu za pośrednictwem portali społecznościowych oraz komunikatorów. Innymi słowy, złodzieje mogą chcieć uzyskać dostęp do konta w celu przeprowadzenia szeroko zakrojonych kampanii spamowych oraz phishingowych.
– Poprzez połączenie dwóch ataków złodzieje ciasteczek odkryli sposób na przejęcie kontroli nad kontem swoich ofiar bez wzbudzania podejrzeń. Chociaż jest to stosunkowo nowe zagrożenie, którego cel stanowiło jak dotąd jedynie około tysiąc osób – ich liczba zwiększa się i wzrost ten najprawdopodobniej utrzyma się, szczególnie że zagrożenie to jest trudne do wykrycia przez strony internetowe. Mimo że podczas korzystania z zasobów internetu zwykle ignorujemy pliki cookie, trzeba pamiętać, że jest to jeden ze sposobów przetwarzania naszych danych osobowych. Powinniśmy z należytą powagą traktować każdą sytuację, w której gromadzone są nasze informacje – powiedział Igor Gołowin, analityk szkodliwego oprogramowania w firmie Kaspersky.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky przygotowali wskazówki, które mogą pomóc uchronić się przed kradzieżą plików cookie:
- Zablokuj dostęp do plików cookie osobom trzecim w przeglądarce swojego telefonu i zezwalaj na zapisywanie Twoich danych jedynie w czasie korzystania z przeglądarki.
- Okresowo czyść pliki cookie.
- Stosuj niezawodne rozwiązanie bezpieczeństwa, takie jak Kaspersky Total Security, wyposażone w funkcję „Surfowanie incognito”, która uniemożliwia stronom internetowym gromadzenie informacji na temat Twojej aktywności online.