Siber vahşi doğada, kullanıcıların internette gezinerek ve güvenliği ihlal edilen cihazlarına yüklenen Chrome ve Facebook dahil diğer uygulamalardan kimlik doğrulama çerezlerini çalan Cookiethief adlı yeni basit ama tehlikeli bir Android kötü amaçlı yazılım türü bulundu.
Kaspersky araştırmacıları tarafından “Cookiethief” olarak adlandırılan trojan, hedef cihazda süper kullanıcı kök hakları elde ederek çalışır ve daha sonra çalıntı çerezleri saldırganlar tarafından işletilen bir uzaktan kumanda ve kontrol (C2) sunucusuna aktarır.
Kaspersky araştırmacıları, “Bu kötüye kullanma tekniği Facebook uygulamasındaki veya tarayıcının kendisindeki bir güvenlik açığı nedeniyle mümkün değil.” Dedi. “Kötü amaçlı yazılım, diğer uygulamalardan herhangi bir web sitesinin çerez dosyalarını aynı şekilde çalabilir ve benzer sonuçlar elde edebilir.”
Cookiethief: Parola Gerektirmeden Hesapları Ele Geçirmek
Çerezler, bir kullanıcıyı diğerinden ayırmak, web’de süreklilik sunmak, farklı web sitelerinde göz atma oturumlarını izlemek, kişiselleştirilmiş içerik sunmak ve hedefli reklamlarla ilgili dizeler için web siteleri tarafından sıklıkla kullanılan küçük bilgilerdir.
Bir cihazdaki çerezlerin, kullanıcıların tekrar tekrar oturum açmak zorunda kalmadan bir hizmete giriş yapmalarına nasıl izin verdiği göz önüne alındığında, Cookiethief, saldırganların gerçek çevrimiçi hesap şifrelerini bilmeden kurban hesaplarına yetkisiz erişim elde etmelerini sağlamak için bu davranıştan yararlanmayı amaçlamaktadır.
Araştırmacılar, “Bu şekilde, bir kurabiyeyle donanmış bir siber suçlu, şüpheli olmayan kurban olarak geçebilir ve ikincisinin hesabını kişisel kazanç için kullanabilir.” Dedi.
Kaspersky, Truva Atı’nın cihaza inebileceği bir dizi yol olabileceğini teorize ediyor – bu kötü amaçlı yazılımı satın almadan önce cihaz ürün yazılımına yerleştirmek veya kötü amaçlı uygulamaları indirmek için işletim sistemindeki güvenlik açıklarından yararlanmak da dahil.
Aygıta virüs bulaştıktan sonra, kötü amaçlı yazılım, çerez hırsızlığını kolaylaştıran “süper kullanıcı” komutlarını yürütmek için aynı akıllı telefona yüklenen ‘Bood’ adlı arka kapıya bağlanır.
Saldırganlar Çok Seviyeli Korumayı Nasıl Atlar?
Yine de Cookiethief malware her şeye sahip değil. Facebook, daha önce platforma giriş yapmak için hiç kullanılmamış olan IP adresleri, cihazlar ve tarayıcılar gibi şüpheli giriş denemelerini engellemek için güvenlik önlemlerine sahiptir.
Ancak kötü aktörler, erişim isteklerini meşru kılmak için hesap sahibinin coğrafi konumunu taklit etmek için virüslü cihazda bir proxy sunucu oluşturan ‘Youzicheng’ adlı ikinci kötü amaçlı yazılım uygulamasından yararlanarak sorunu çözdüler.
Araştırmacılar, “Bu iki saldırıyı birleştirerek siber suçlular kurbanın hesabı üzerinde tam kontrol sahibi olabilirler ve Facebook’tan şüphe uyandıramazlar.” Dedi.
Saldırganların gerçekten neyin peşinde olduğu henüz belli değil, ancak araştırmacılar C2 sunucusu reklamcılık hizmetlerinde, sosyal ağlarda ve habercilerde spam dağıtmak için bulunan bir sayfa buldular. Bu da onları suçluların Cookiethief’ten kullanıcıların sosyal medyasını ele geçirmek için kullanabileceği sonucuna götürdü. Kötü amaçlı bağlantılar yaymak veya kimlik avı saldırılarını sürdürmek için hesaplar.
Kaspersky, saldırıyı yeni bir tehdit olarak sınıflandırırken – bu şekilde hedeflenen yaklaşık 1.000 kişi ile – bu tür saldırıları tespit etme zorluğu göz önüne alındığında – bu sayının “büyüdüğü” konusunda uyardı.
Bu tür saldırılardan korunmak için, kullanıcıların telefonun tarayıcısında üçüncü taraf çerezlerini engellemesi, çerezleri düzenli olarak temizlemeleri ve özel tarama modunu kullanarak web sitelerini ziyaret etmeleri önerilir.
