Tìm thấy mã độc mới trên máy Android, đánh cắp cookie và hack chiếm Facebook mà không cần mật khẩu

Các nhà nghiên cứu đã phát hiện ra một loại phần mềm độc hại mới trên Android được cài đặt trên thiết bị của nhiều người. Chúng đánh cắp cookie xác thực của người dùng khi duyệt web và các ứng dụng khác, bao gồm Chrome và Facebook.

Phần mềm độc hại Cookiethief

Được các nhà nghiên cứu tại Kaspersky gọi là “Cookiethief”, phần mềm này hoạt động bằng cách chiếm quyền root super-user trên thiết bị và sau đó chuyển cookie bị đánh cắp sang command-and-control server (C2 server) do kẻ tấn công vận hành.

Các nhà nghiên cứu của Kaspersky cho biết “Việc đánh cắp này có thể không phải do lỗi trong ứng dụng hoặc trình duyệt Facebook. Malware có thể đánh cắp các tập tin cookie của bất kỳ trang web nào từ các ứng dụng khác theo cách thức và đạt được kết quả tương tự.”

Cookiethief: Chiếm tài khoản mà không cần mật khẩu

Cookie là những thông tin nhỏ thường được các trang web sử dụng để phân biệt người dùng này với người dùng khác, cung cấp tính liên tục trên web, theo dõi các phiên duyệt trên các trang web khác nhau, phục vụ nội dung được cá nhân hóa và chuỗi liên quan đến quảng cáo được nhắm đến.

Cookie trên thiết bị cho phép người dùng truy cập vào dịch vụ mà không phải đăng nhập nhiều lần. Cookiethief đánh cắp cookie để cho phép kẻ tấn công truy cập trái phép vào tài khoản nạn nhân mà không cần biết mật khẩu tài khoản online của họ.

Các nhà nghiên cứu cho biết “Bằng cách này, một tội phạm mạng có được cookie giả danh người dùng mà không bị nghi ngờ, sử dụng tài khoản và sau đó trục lợi cá nhân”.

Kaspersky đưa ra giả thuyết về một số cách mà phần mềm này có trên thiết bị, bao gồm cả việc cài đặt nó vào firmware thiết bị hoặc bằng cách khai thác lỗ hổng trong hệ điều hành để tải xuống các ứng dụng độc hại.

Khi thiết bị bị lây nhiễm, phần mềm độc hại sẽ kết nối với một backdoor, được đặt tên là ‘Bood’. Bood được cài đặt trên chính thiết bị đó để thực hiện các lệnh “superuser” tạo điều kiện để đánh cắp cookie.

Phần mềm độc hại vượt qua bảo vệ nhiều lớp của Facebook như thế nào?

Dĩ nhiên việc ăn cắp cookie không chỉ đơn giản thế là xong. Facebook có các biện pháp bảo mật để chặn mọi đăng nhập đáng ngờ như xem xét địa chỉ IP, thiết bị và trình duyệt chưa từng được sử dụng để đăng nhập trước đó.

Nhưng kẻ xấu đã lách luật bằng cách tận dụng phần thứ hai của ứng dụng phần mềm độc hại có tên ‘Youzicheng’ để tạo một máy chủ proxy trên thiết bị  để mạo danh vị trí địa lý của chủ tài khoản, giúp các yêu cầu truy cập trở nên hợp pháp.

Các nhà nghiên cứu lưu ý “Bằng cách kết hợp hai cách tấn công này, tội phạm mạng có thể giành quyền kiểm soát hoàn toàn tài khoản của nạn nhân mà không bị Facebook nghi ngờ”

Vẫn chưa rõ mục đích thật sự của kẻ tấn công là gì. Tuy nhiên các nhà nghiên cứu đã tìm thấy một trang trên các dịch vụ quảng cáo của C2 server chuyên phát tán thư rác trên mạng xã hội và ứng dụng nhắn tin. Từ đó đưa ra kết luận rằng bọn tội phạm có thể lợi dụng Cookiethief để chiếm quyền điều khiển phương tiện truyền thông xã hội của người dùng để phát tán các liên kết độc hại hoặc duy trì các cuộc tấn công lừa đảo.

Kaspersky phân loại cuộc tấn công này là một mối đe dọa mới với chỉ khoảng 1.000 nạn nhân. Tuy nhiên, họ cũng cảnh báo rằng con số này đang “gia tăng” và rất khó để nạn nhân phát hiện ra mình đã bị tấn công.

Để bảo vệ bản thân, người dùng nên chặn cookie của bên thứ ba trên trình duyệt của điện thoại, xóa cookie thường xuyên và truy cập các trang web bằng chế độ duyệt web riêng tư.

Theo TheHackerNews