Le trojan Cookiethief dérobe les cookies sur Android

Le trojan Cookiethief a été découvert par des chercheurs de Kaspersky. Ce cheval de Troie a un objectif simple: «Sa tâche principale était d’acquérir les droits root sur l’appareil infecté et de transférer les cookies utilisés par le navigateur et l’application Facebook vers le serveur des cybercriminels, » ont expliqué les chercheurs de Kaspersky.

Armés de ces cookies récupérés, les escrocs peuvent accéder à des identifiants de session uniques qui peuvent identifier l’utilisateur sur des pages Web et des services, permettant un accès instantané sans mot de passe, ni nom d’utilisateur. Ainsi, les cybercriminels peuvent usurper l’identité d’utilisateurs légitimes et infiltrer des comptes.

Dans ce cas spécifique, les opérateurs de Cookiethief sont déterminés à faire de la fraude publicitaire, utilisant les comptes détournés pour envoyer des spams.

“Sur le serveur [de commande et de contrôle], nous avons également trouvé une page qui fait la publicité de services pour distribuer du spam sur les réseaux sociaux et les applications de messagerie, il n’était donc pas difficile de deviner le motif de l’opération de vol de cookies”, ont déclaré les chercheurs.

cookiethief

Cookiethief n’utilise aucune vulnérabilité dans l’application Facebook ou le navigateur lui-même pour récupérer les données de cookies. Au lieu de cela, une fois qu’il est installé sur l’appareil, le malware se connecte à une porte dérobée installée sur le même smartphone et lui envoie une commande shell pour l’exécution d’une commande superutilisateur, ont expliqué les chercheurs. “La porte dérobée Bood, située sur le chemin /system/bin/.bood, lance le serveur local … et exécute les commandes reçues de la part de Cookiethief”, ont-ils écrit.

Kaspersky a noté que le malware peut se retrouver sur un appareil soit en étant implanté dans le firmware quelque part dans la chaîne d’approvisionnement, avant l’achat, ou il peut utiliser des vulnérabilités dans le système d’exploitation Android pour infiltrer les dossiers système et télécharger d’autres applications.

“En conséquence, une porte dérobée persistante comme Bood, ainsi que les programmes auxiliaires Cookiethief [et autres], peuvent se retrouver sur l’appareil”, selon les chercheurs, qui ont ajouté qu’ils avaient déjà vu les deux tactiques utilisées auparavant par d’autres logiciels malveillants.

cookiethief

Cookiethief n’a pas carte blanche, l’accès instantané des cookies aux comptes est bloqué par Facebook et d’autres services si l’activité d’un utilisateur est jugée atypique, comme la connexion à partir d’un nouvel appareil ou d’un nouvel emplacement.

Les auteurs des logiciels malveillants ont apparemment anticipé cet obstacle: une autre application sur le même serveur C2 (command-and-control), baptisée Youzicheng, peut être utilisée pour exécuter un proxy sur l’appareil de la victime.

“Nous pensons que Youzicheng est chargé de contourner les systèmes de sécurité de l’application de messagerie ou du réseau social concerné en utilisant un serveur proxy sur l’appareil de la victime”, ont déclaré les chercheurs. “En conséquence, la requête des cybercriminels sur le site Web ressemblera à une requête venant d’un compte légitime et ne suscitera pas de soupçons.”

Comment se protéger du malware Cookiethief?

Jusqu’à présent, il y a environ 1 000 victimes de Cookiethief, selon Kaspersky, mais le chiffre augmente.

Pour se protéger de ce genre d’attaques, il est recommandé aux utilisateurs de bloquer les cookies tiers sur le navigateur du smartphone, de les effacer régulièrement et de visiter les sites Web en mode navigation privée.

Si cet article vous a plu, jetez un œil à notre article précédent.