Android’de Yeni Bir Kötü Amaçlı Yazılım Bulundu: Cookiethief
Siber vahşi doğada, kullanıcıların internette gezinerek ve güvenliği ihlal edilen cihazlarına yüklenen Chrome ve Facebook dahil diğer uygulamalardan kimlik doğrulama çerezlerini çalan Cookiethief adlı yeni basit ama tehlikeli bir Android kötü amaçlı yazılım türü bulundu.
Kaspersky araştırmacıları tarafından “Cookiethief”
olarak adlandırılan trojan, hedef cihazda süper kullanıcı kök hakları elde
ederek çalışır ve daha sonra çalıntı çerezleri saldırganlar tarafından
işletilen bir uzaktan kumanda ve kontrol (C2) sunucusuna aktarır.
Kaspersky araştırmacıları, “Bu kötüye kullanma tekniği Facebook uygulamasındaki veya tarayıcının kendisindeki bir güvenlik açığı nedeniyle mümkün değil.” Dedi. “Kötü amaçlı yazılım, diğer uygulamalardan herhangi bir web sitesinin çerez dosyalarını aynı şekilde çalabilir ve benzer sonuçlar elde edebilir.”
Cookiethief: Parola Gerektirmeden Hesapları Ele Geçirmek
Çerezler, bir kullanıcıyı diğerinden ayırmak, web’de
süreklilik sunmak, farklı web sitelerinde göz atma oturumlarını izlemek,
kişiselleştirilmiş içerik sunmak ve hedefli reklamlarla ilgili dizeler için web
siteleri tarafından sıklıkla kullanılan küçük bilgilerdir.
Bir cihazdaki çerezlerin, kullanıcıların tekrar tekrar
oturum açmak zorunda kalmadan bir hizmete giriş yapmalarına nasıl izin verdiği
göz önüne alındığında, Cookiethief, saldırganların gerçek çevrimiçi hesap
şifrelerini bilmeden kurban hesaplarına yetkisiz erişim elde etmelerini
sağlamak için bu davranıştan yararlanmayı amaçlamaktadır.
Araştırmacılar, “Bu şekilde, bir kurabiyeyle donanmış
bir siber suçlu, şüpheli olmayan kurban olarak geçebilir ve ikincisinin
hesabını kişisel kazanç için kullanabilir.” Dedi.
Kaspersky, Truva Atı’nın cihaza inebileceği bir dizi yol
olabileceğini teorize ediyor – bu kötü amaçlı yazılımı satın almadan önce cihaz
ürün yazılımına yerleştirmek veya kötü amaçlı uygulamaları indirmek için
işletim sistemindeki güvenlik açıklarından yararlanmak da dahil.
Aygıta virüs bulaştıktan sonra, kötü amaçlı yazılım, çerez
hırsızlığını kolaylaştıran “süper kullanıcı” komutlarını yürütmek
için aynı akıllı telefona yüklenen ‘Bood’ adlı arka kapıya bağlanır.
Saldırganlar Çok Seviyeli Korumayı Nasıl Atlar?
Yine de Cookiethief malware her şeye sahip değil. Facebook,
daha önce platforma giriş yapmak için hiç kullanılmamış olan IP adresleri,
cihazlar ve tarayıcılar gibi şüpheli giriş denemelerini engellemek için
güvenlik önlemlerine sahiptir.
Ancak kötü aktörler, erişim isteklerini meşru kılmak için
hesap sahibinin coğrafi konumunu taklit etmek için virüslü cihazda bir proxy
sunucu oluşturan ‘Youzicheng’ adlı ikinci kötü amaçlı yazılım uygulamasından
yararlanarak sorunu çözdüler.
Araştırmacılar, “Bu iki saldırıyı birleştirerek siber suçlular kurbanın hesabı üzerinde tam kontrol sahibi olabilirler ve Facebook’tan şüphe uyandıramazlar.” Dedi.
Saldırganların gerçekten neyin peşinde olduğu henüz belli
değil, ancak araştırmacılar C2 sunucusu reklamcılık hizmetlerinde, sosyal
ağlarda ve habercilerde spam dağıtmak için bulunan bir sayfa buldular. Bu da
onları suçluların Cookiethief’ten kullanıcıların sosyal medyasını ele geçirmek
için kullanabileceği sonucuna götürdü. Kötü amaçlı bağlantılar yaymak veya
kimlik avı saldırılarını sürdürmek için hesaplar.
Kaspersky, saldırıyı yeni bir tehdit olarak sınıflandırırken – bu şekilde hedeflenen yaklaşık 1.000 kişi ile – bu tür saldırıları tespit etme zorluğu göz önüne alındığında – bu sayının “büyüdüğü” konusunda uyardı.
Bu tür saldırılardan korunmak için, kullanıcıların telefonun tarayıcısında üçüncü taraf çerezlerini engellemesi, çerezleri düzenli olarak temizlemeleri ve özel tarama modunu kullanarak web sitelerini ziyaret etmeleri önerilir.