近日,卡巴斯基实验室的研究人员发现了一种新型安卓恶意软件并将其命名为“Cookiethief”(Trojan-Spy.AndroidOS.Cookiethief)。
正如它的名字一样,Cookiethief唯一的功能就是获取受感染设备的ROOT权限,并将浏览器以及Facebook APP使用的cookie上传到由网络犯罪分子控制的服务器上。
cookie被盗,很严重吗?当然!
除各种设置外,各种Web服务还使用cookie在设备上存储唯一的会话ID,以实现在无需密码和登录的情况下识别用户。换句话来说,谁拿到了你的cookie,谁就可以登录并使用你的账户。
Cookiethief的软件包名称为“com.lob.roblox”,但除了名字之外,它和知名游戏平台Roblox似乎没有半点关系。相反,它包含大量恶意代码。
为了能够执行超级用户专用命令,Cookiethief将连接到安装在同一手机上的一个后门。
然后,将一个shell命令传递给后门执行。
接下来,位于“/system/bin/.bood”的后门(Backdoor.AndroidOS.Bood.a)便会启动本地服务器并执行从Cookiethief接收到的命令。
在C2服务器上,研究人员发现了一个在社交网络和消息应用中分发垃圾电子邮件的页面广告服务,网络犯罪分子窃取cookie的动机显而易见。
当然,垃圾电子邮件发送账户也可能会被冻结。比如,Facebook在检测到账号活动异常时,就可能会冻结该账户。
但是,在针对Cookiethief的分析过程中,研究人员还发现了另一个与Cookiethief具有类似编码结构且使用相同C2服务器的恶意APP——Trojan-Proxy.AndroidOS.Youzicheng。
Youzicheng的任务是使用受害者设备上的代理服务器绕过相关社交网络和消息应用的安全检测机制。如此一来,来自网络犯罪分子对网站的请求就会看起来像是来自合法账户。
为了实现这一点,Youzicheng首先要做的就是下载一个可执行文件。
然后,请求代理配置。
最后,运行下载的文件。
通过结合使用Cookiethief和Youzicheng,网络犯罪分子便可以绕过Facebook的安全检测,实现对受害者账户的完全控制。
从Cookiethief使用的C2服务器地址和加密密钥来看,它似乎与Sivu、Triada和Ztorg等木马存在关联。
通常来讲,此类恶意软件要么是在用户购买设备之前就已经被植入了固件,要么就是通过操作系统漏洞进入的系统文件夹,然后再将各种恶意APP下载到了系统中。
研究人员表示,尽管目前的受害者人数不超过1000,但这个数字还在不断增长。