偷偷摸摸的特洛伊木马在安卓手机上发现了潜伏
卡巴斯基的研究人员在揭示了两个新的Android恶意软件修改之后提出了警报,可以窃取浏览器和应用饼干,并使网络犯罪分子能够控制受害者的社交媒体账户。
rues通过利用网站用于将来识别用户的唯一会话ID cookie而作品,而无需它们使用其密码即可登录。
如果网站可以被欺骗思考攻击者是受害者 - 如果他们拥有用户的身份,那么可以轻松完成 - 它成为一个非常简单的事情,即将到目标帐户并用于恶意目的。
在这种情况下,使用两个具有由相同C&C服务器控制的类似编码的特洛伊木马,这正是发生了什么。
第一个特洛伊木马被称为cookiethief,获取目标设备的root权限,使攻击者将cookie传输到自己的服务器。
第二个特洛伊木马被称为youzicheng,在目标设备上运行一个代理服务器,以阻止可疑登录尝试的欺骗安全措施 - 例如,从两个地理上遥远位置登录几分钟 - 并获得访问权限而不提醒受害者或网站。
“通过结合两次攻击,Cookie Thieves已经发现了一种在没有引起怀疑的情况下对受害者的账户进行控制的方法,”卡巴斯基恶意软件分析师Igor Golovin说。“虽然这是一个相对较新的威胁 - 但到目前为止,只有大约1,000次辛勤化 - 这个数字正在增长,很可能会继续这样做,特别是因为网站才能检测到这一点。
“即使我们在我们冲浪网上时,我们通常不注意饼干,它们仍然是另一种处理我们的个人信息的方法,我们需要在线收集我们的任何时间数据,我们需要注意。”
卡巴斯基表示,特洛伊木马背后的集团的最终目标尚不清楚,但它的研究人员在同一C&C服务器上发现的页面提供了一个明显的线索 - 它宣传了在社交网络上分发垃圾邮件的服务,这表明计划是推出的更广泛的垃圾邮件和网络钓鱼活动。
卡巴斯基将Cookiethief和Youzicheng联系起来,其中一些其他广泛的特洛伊木马,包括Sivu,Triada和Ztorg,因为C&C服务器地址和加密密钥的相似之处。该公司表示,在大多数情况下,在恶意内部人员购买之前在目标设备上种植此类恶意软件,或者通过Android操作系统中的后门漏洞进入系统文件夹。
除了激活他们的设备的板载安全功能还是使用第三方安全服务增强它们,最好建议用户在Android Web浏览器上阻止第三方Cookie访问,并且只允许将其保存在退出浏览器之前保存。定期清除饼干也可以减轻某种程度的危险。
可以在卡巴斯基的Securelist博客上找到更多技术信息,以及妥协(IOC)的指标。