Odborníci spoločnosti Kaspersky objavili dve nové modifikácie Android malvéru, ktoré, pokiaľ sa skombinujú, dokážu kradnúť súbory cookies zhromaždené prehliadačom či aplikáciami populárnych sociálnych sietí. Následne umožnia zlodejom získať diskrétne kontrolu nad účtom obete, aby mohli posielať rozličný zlomyseľný obsah.
Súbory cookies sú malé časti údajov zhromažďované webovými stránkami, ktoré sledujú online aktivitu používateľa v snahe vytvoriť pre neho do budúcna na internete personalizované zážitky. Aj keď sú často vnímané ako neškodná otrava, v tých nesprávnych rukách môžu predstavovať bezpečnostné riziko. Najmä z dôvodu, že keď webové stránky ukladajú súbory cookies, používajú jedinečný identifikátor relácie, ktorý používateľa v budúcnosti identifikuje bez potreby zadania heslo alebo prihlásenia sa. Akonáhle podvodníci získajú ID používateľa, môžu oklamať webové stránky, že oni sú v skutočnosti obeťami útoku, čo im následne umožní prevziať kontrolu nad týmito účtami. A to je presne to, čo zlodeji súborov cookies dosiahli vývojom trójskych koní s podobným kódovaním, ktoré sú pod kontrolou rovnakého servera pre riadenie a kontrolu (C&C).
Prvý trójsky kôň získa práva administrátora (tzv. root práva) na zariadení obete, čo zlodejom umožní prenos súborov cookies zozbieraných napríklad aplikáciou Facebook na ich vlastné servery.
Často však nestačí mať len identifikačné číslo na to, aby podvodníci prevzali kontrolu nad iným účtom. Niektoré webové stránky majú zavedené bezpečnostné opatrenia, ktoré zabraňujú podozrivým pokusom o prihlásenie – napríklad keď sa používateľ, ktorý bol predtým aktívny v Chicagu, o niekoľko minút neskôr pokúša prihlásiť z Bali.
Tu prichádza na rad druhý trójsky kôň. Táto škodlivá aplikácia môže na zariadení obete spustiť proxy server, aby obišla bezpečnostné opatrenia a tým získala prístup bez toho, aby vzbudila akékoľvek podozrenie. Od tohto momentu sa môžu zločinci tváriť ako obeť a prevziať kontrolu nad používateľským kontom na sociálnej sieti a distribuovať nežiadúci obsah.
Zatiaľ čo ultimátny cieľ zlodejov súborov cookies nie je známy, tak stránka, ktorá bola odhalená na rovnakom C&C serveri, by mohla čo to napovedať – táto stránka totiž inzeruje služby na distribúciu nevyžiadanej pošty na sociálnych sieťach a v rámci messengerov. Inak povedané, zlodeji si chcú zabezpečiť prístup k legitímnym účtom, aby mohli spustiť rozsiahle spamové a phishingové útoky.
„Kombináciou dvoch útokov našli zlodeji súborov cookies spôsob, ako získať kontrolu nad účtom svojich obetí bez toho, aby vzbudili podozrenie. Aj keď ide o relatívne novú hrozbu – doteraz bola zacielená na zhruba tisíc osôb – tento počet rastie a pravdepodobne ide o trend, ktorý bude aj naďalej pokračovať, a to najmä preto, že je pre webové stránky náročné takéto útoky odhaliť. Aj keď pri surfovaní na webe zvyčajne nevenujeme pozornosť súborom cookies, musíme si uvedomiť, že ide o ďalší z prostriedkov spracovania osobných údajov. Zakaždým by sme mali venovať pozornosť čomukoľvek, ak sa to týka zhromažďovania našich údajov v online prostredí,“ komentuje situáciu Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu.
Na ochranu pred krádežou súborov cookies spoločnosť Kaspersky používateľom odporúča dodržiavať nasledovné kroky:
- Zablokujte prístup k súborom cookies tretím stranám vo webovom prehliadači vášho telefónu a povoľte ukladanie vašich dát, len kým aktívne používate prehliadač.
- Pravidelne mažte vaše súbory cookies.
- Používajte spoľahlivé bezpečnostné riešenie ako napríklad Kaspersky Security Cloud, ktoré zahŕňa aj funkciu súkromného prehliadania, ktoré zabraňuje webovým stránkam zhromažďovať informácie o vašej aktivite online.
Viac sa o zlodejoch súborov cookies dozviete na expertnom blogu Securelist.com spoločnosti Kaspersky.