Les chercheurs de Kaspesky ont découvert deux nouvelles modifications de logiciels malveillants Android qui, combinées, peuvent voler des cookies collectés par les navigateurs des utilisateurs et les applications de médias sociaux pour permettre à un attaquant de contrôler discrètement les comptes d'une victime.
Les cookies sont de petites données collectées par des sites Web afin de suivre l'activité d'un utilisateur en ligne pour créer des expériences personnalisées à l'avenir. Entre de mauvaises mains, ils peuvent poser un risque pour la sécurité car les cookies utilisent un identifiant de session unique qui identifie les utilisateurs sans nécessiter de mot de passe ou de connexion.
Une fois en possession de l'ID d'un utilisateur, les attaquants peuvent faire croire aux sites Web qu'ils sont cette personne et prendre le contrôle de leur compte. C'est exactement ce que font ces deux nouveaux chevaux de Troie avec un codage similaire contrôlé par le même serveur de commande et de contrôle (C&C).
Sommaire
Vol de cookies
Le premier cheval de Troie acquiert les droits root sur l'appareil d'une victime, ce qui permet à un attaquant de transférer des cookies de Facebook vers ses propres serveurs. Cependant, le simple fait d'avoir un numéro d'identification d'utilisateur ne suffit pas pour prendre le contrôle d'un compte dans certaines circonstances. Par exemple, certains sites Web ont mis en place des mesures de sécurité qui empêchent les tentatives de connexion suspectes.
C'est là que le deuxième cheval de Troie entre en jeu car il s'agit d'une application malveillante qui peut exécuter un serveur proxy sur l'appareil d'une victime pour contourner les mesures de sécurité pour y accéder sans éveiller les soupçons. Cela permet à un attaquant de se faire passer pour la victime et de prendre le contrôle de ses comptes de réseaux sociaux pour diffuser du contenu indésirable.
À l'heure actuelle, le but des cybercriminels qui volent les cookies de l'utilisateur est inconnu, mais une page découverte sur le même serveur C&C peut fournir un indice. La page présente des services de distribution de spam sur les réseaux sociaux et les messagers, ce qui signifie que les attaquants pourraient rechercher un accès au compte comme moyen de lancer un spam répandu et attaques de phishing.
L'analyste des logiciels malveillants de Kaspersky, Igor Golovin, a expliqué dans un communiqué de presse que, bien que nouvelle, cette menace continuera probablement de croître, déclarant:
«En combinant deux attaques, les voleurs de cookies ont découvert un moyen de prendre le contrôle des comptes de leurs victimes sans éveiller de soupçons. Bien qu'il s'agisse d'une menace relativement nouvelle – jusqu'à présent, seulement environ 1 000 personnes ont été ciblées – ce nombre augmente et continuera probablement de le faire, d'autant plus qu'il est si difficile à détecter pour les sites Web. Même si nous ne prêtons généralement pas attention aux cookies lorsque nous naviguons sur le Web, ils constituent un autre moyen de traiter nos informations personnelles, et chaque fois que des données nous concernant sont collectées en ligne, nous devons y prêter attention. "
