Jeder liebt Cookies - auch Cyberkriminelle. Ihr Geschmack kann jedoch auf eine andere Art von Cookie stoßen, was durch eine neue Sorte von Android-Malware belegt wird, die möglicherweise vor dem Kauf eines Geräts implantiert wird.
Der Trojaner, der von den Kaspersky-Forschern, die ihn entdeckt haben, passend als "Cookiethief" bezeichnet wird, hat ein einfaches Ziel: "Seine Hauptaufgabe war es, die Root-Rechte auf dem Gerät des Opfers zu erwerben und die vom Browser und der Facebook-Anwendung verwendeten Cookies auf den Server der Cyberkriminellen zu übertragen", erklärten die Kaspersky-Forscher Anton Kivva und Igor Golovin in einer Analyse am Donnerstag.
Bewaffnet mit den abgeschöpften Cookies können sich Gauner Zugang zu eindeutigen Sitzungs-IDs verschaffen, die den Benutzer auf Webseiten und Dienste identifizieren können, was einen sofortigen Zugang ohne Passwort und Anmeldung ermöglicht. Auf diese Weise können sich Angreifer als legitime Benutzer ausgeben und mit wenig bis gar keinem Aufwand Konten infiltrieren.
In diesem speziellen Fall sind die Betreiber von Cookiethief auf Werbebetrug aus, indem sie die gekaperten Konten zum Versenden von Spam verwenden.
"Auf dem [Command-and-Control]-Server fanden wir auch eine Seite mit Werbediensten zur Verbreitung von Spam in sozialen Netzwerken und Messengern, so dass es nicht schwer war, das Motiv hinter dem Cookie-Diebstahl zu erraten", so die Forscher.
Cookiethief nutzt keine Schwachstelle in der Facebook-Anwendung oder im Browser selbst aus, um sich die Ware zu schnappen. Stattdessen verbindet sich die Malware, sobald sie auf dem Gerät installiert ist, mit einer verwandten Hintertür, die auf demselben Smartphone installiert ist, und sendet ihr einen Shell-Befehl zur Ausführung von Superuser-Befehlen, erklärten die Forscher. "Die Hintertür Bood, die sich auf dem Pfad /system/bin/.bood befindet, startet den lokalen Server... und führt die vom Cookiethief erhaltenen Befehle aus", schrieben sie.
Kaspersky bemerkte, dass die Malware ihren Weg auf ein Gerät finden kann, indem sie entweder vor dem Kauf irgendwo in der Lieferkette in die Firmware eingepflanzt wird - oder sie kann Schwachstellen im Android-Betriebssystem nutzen, um Systemordner zu infiltrieren und andere Anwendungen herunterzuladen.
"Infolgedessen kann eine hartnäckige Hintertür wie Bood zusammen mit den Hilfsprogrammen Cookiethief [und anderen] auf dem Gerät landen", so die Forscher, die hinzufügten, dass sie beide Taktiken schon einmal von verwandter Malware angewendet haben.
Cookiethief hat keinen Freibrief, die Keksdose zu plündern - der Cookie-basierte Sofortzugriff auf Konten wird von Facebook und anderen Diensten blockiert, wenn die Aktivität eines Benutzers als untypisch angesehen wird - wie zum Beispiel das Einloggen von einem neuen Gerät oder Standort aus.
Die Malware-Autoren haben diese Hürde aber offenbar vorhergesehen: Eine weitere Anwendung auf demselben C2-Server, Youzicheng, kann dazu verwendet werden, einen Proxy auf dem Gerät des Opfers zu betreiben.
"Wir glauben, dass Youzicheng die Aufgabe hat, die Sicherheitssysteme des betreffenden Boten oder sozialen Netzwerks zu umgehen, indem ein Proxy-Server auf dem Gerät des Opfers verwendet wird", so die Forscher. "Infolgedessen wird die Anfrage von Cyberkriminellen an die Website wie eine Anfrage von einem legitimen Konto aussehen und keinen Verdacht erregen".
Bislang gibt es laut Kaspersky etwa 1.000 Cookiethief-Opfer, aber die Zahl wächst.
