Эксперты «Лаборатории Касперского» обнаружили две новые вредоносные программы для Android: вместе они способны красть файлы cookie, сохранённые в браузере на смартфонах и в приложениях популярных социальных сетей, в частности Facebook. В дальнейшем зловреды позволяют злоумышленникам незаметно получать контроль над аккаунтом жертвы в социальной сети и распространять контент от её лица.

Файлы cookie — это небольшие фрагменты данных, которые используются веб-сайтами для хранения информации на устройствах пользователя и делают сёрфинг в сети удобнее (например, с их помощью сайты запоминают, что человек вошёл в аккаунт, и не требуют вводить пароль при каждой загрузке страницы). Хотя они воспринимаются как нечто безвредное, на самом деле, попав не в те руки, могут представлять угрозу безопасности. Когда веб-сайты запоминают пользователя, они сохраняют в файлах cookie уникальный ID сеанса, который позволяет идентифицировать человека в будущем. Получив такой ID, злоумышленники могут обмануть веб-сайты: представиться жертвой и взять под контроль её учётную запись. Именно для этого они разработали двух троянцев с похожим стилем написания кода и использующих один и тот же управляющий сервер.

Первый троянец, попав на устройство, получает root-права (они дают доступ к данным любых приложений на смартфоне) и передаёт на сервер злоумышленников cookie-файлы браузера и установленного приложения социальной сети.

Однако зачастую иметь только ID сессии недостаточно для того, чтобы взять под контроль чужой аккаунт. У некоторых веб-сайтов предусмотрены меры безопасности, которые позволяют предотвратить подозрительные попытки входа в систему. Например, когда пользователь, ранее активный в Чикаго, пытается авторизоваться с Бали всего через несколько минут после предыдущего сеанса. Именно для таких случаев предназначен второй троянец. Это вредоносное ПО может запустить прокси-сервер на телефоне и предоставить злоумышленникам доступ в интернет с устройства жертвы, чтобы обойти меры безопасности и таким образом войти в аккаунт, не вызывая подозрений.

При этом можно утверждать, что троянцы не эксплуатируют какие-либо уязвимости в мобильном браузере или приложении Facebook. Используя подобный метод, злоумышленники могут красть файлы cookie, сохранённые на любом сайте.

Хотя конечная цель кражи файлов cookie остается неизвестной, страница, обнаруженная на том же командном сервере, даёт подсказку: на ней рекламировались услуги по распространению спама в социальных сетях и мессенджерах. То есть злоумышленники могут пытаться получить доступ к чужим учётным записям для того, чтобы запускать масштабные спам- и фишинговые рассылки и атаки.

«Объединив два типа атак, злоумышленники нашли способ получать контроль над аккаунтами пользователей, не вызывая подозрений. Это относительно новая угроза, пока ей подверглись не более тысячи человек. Это число растёт и, скорее всего, будет продолжать расти, учитывая, что веб-сайтам трудно обнаруживать такие атаки. Злоумышленники всё время изобретают новые способы нажиться на пользователях, поэтому не стоит пренебрегать защитой своего устройства», — прокомментировал Игорь Головин, вирусный аналитик «Лаборатории Касперского».

Чтобы не стать жертвой мобильных троянцев и других угроз, «Лаборатория Касперского» рекомендует придерживаться простых правил безопасности: не скачивать приложения из сторонних источников; регулярно обновлять устройство и сканировать систему на предмет заражения; использовать надёжное мобильное защитное решение, которое умеет распознавать различные виды угроз, например Kaspersky Internet Security для Android.