Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Cookiethief, il trojan Android che ruba le identità social: tutti i dettagli

Si chiama Cookiethief il nuovo trojan per Android in grado di acquisire i diritti di root del dispositivo e trafugare i cookie di autenticazione del browser e dell’app di Facebook, consentendo così ai criminal hacker di rubare le identità social delle vittime. Ecco i dettagli tecnici e i consigli per proteggersi

20 Mar 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Una nuova minaccia mette a rischio i sistemi Android: si chiama Cookiethief ed è un trojan il cui obiettivo principale è quello di acquisire i diritti di root del dispositivo colpito e trasferire i cookie di autenticazione utilizzati dal browser e/o dall’app di Facebook su di un server di comando e controllo gestito dai criminal hacker.

Secondo quanto emerge da uno studio pubblicato dai ricercatori Kaspersky (che hanno identificato la nuova tipologia di malware come Trojan-Spy.AndroidOS.Cookiethief), per sferrare l’attacco sul dispositivo mobile non verrebbe sfruttata, al momento, nessuna vulnerabilità particolare né dell’app del social network né del sistema operativo Android, quanto piuttosto l’uso improprio degli stessi cookie carpiti che potrebbe permettere ad un attaccante di impersonificare l’utenza della vittima, con tutte le conseguenze del caso.

Infatti, come è ben noto, i cookie sono solitamente adoperati dai servizi web, in modo funzionale, per gestire le sessioni di collegamento e identificare l’utente con determinati codici allo scopo di tracciare statistiche di accesso, preferenze di navigazione e/o velocizzare le richieste di pertinenza (senza ulteriori autenticazioni).

Le funzionalità del trojan-spy Cookiethief

Dall’analisi condotta sul pacchetto malware com[.lob].roblox rilevato dai ricercatori di sicurezza, risulta che per eseguire i comandi di root (come superutente), il trojan Cookiethief:

  1. si connette, innanzitutto, ad una backdoor Bood all’indirizzo localhost 127.0[.]0.1[:] 5210, preinstallata in locale nella directory /system/bin/.bood e scaricata dalla URL http[:]//zh.yomobi[.]net:8080;
  2. successivamente, inizia ad inviare dei comandi di esecuzione alla backdoor stessa secondo un protocollo e un format predeterminato dagli stessi criminal hacker.

Script dei comandi inviati da Cookiethief.

Altre particolarità del trojan Cookiethief

Durante la loro analisi, i ricercatori di sicurezza hanno identificato altre due particolarità del trojan Cookiethief riguardo al server di comando e controllo remoto:

  1. la presenza di una pagina di servizi pubblicitari per la distribuzione di spam;
  2. una comunicazione remota anche con un’altra app malevola, il trojan Youzicheng (identificato come Trojan-Proxy.AndroidOS.Youzicheng), deputata ad impostare un proxy sul dispositivo di destinazione per ingannare i sistemi di sicurezza del social network in modo che le azioni degli attaccanti risultino legittime e non vengano bloccate come attività atipiche.

Le funzionalità del trojan-proxy Youzicheng

L’implementazione delle funzionalità di questo ulteriore trojan (pacchetto malware org[.]rabbit), che oltre a dialogare con lo stesso server C2 presenta uno stile di codifica molto simile a quello usato per Cookiethief, prevede che venga scaricato ed avviato un file eseguibile dopo una preventiva configurazione del proxy.

Script per il download dell’eseguibile.

Script per la configurazione proxy.

Considerazioni finali

webinar, 21 aprile
Smartworking e Security: come fronteggiare gli attacchi che sfruttano l’emergenza da Coronavirus?
Sicurezza

Risulta chiaro come, attraverso la persistenza della backdoor Bood e l’utilizzo ausiliario e combinato dei due trojan Cookiethief e Youzicheng, gli attaccanti possano avere a loro disposizione tutti gli strumenti necessari per attuare indisturbati un controllo completo degli account social delle vittime.

Come rimarcato dagli stessi analisti Kaspersky, qualora questi due trojan venissero integrati sui firmware dei dispositivi durante la fase di sviluppo, oppure venissero ulteriormente perfezionate le loro implementazioni per sfruttare anche le vulnerabilità insite in Android, risulterebbe ancora più semplice, per gli aggressori, ottenere l’accesso ai sistemi colpiti come anche iniettarvi ulteriori software malevoli.

Anche se fortunatamente, ad oggi, non risulterebbero sul Play Store app contaminate con tali malware, i ricercatori avvertono che questa tipologia di minaccia è in costante aumento.

Risulta pertanto sempre consigliabile, come contromisura di prevenzione, adottare delle buone e semplici pratiche di sicurezza:

  • non scaricare app da store di terze parti e prestare attenzione in generale alle autorizzazioni richieste dalle stesse;
  • garantire una protezione antivirus degli smartphone installando programmi affidabili ed aggiornando periodicamente le definizioni di virus e spyware alle ultime versioni disponibili.

I ricercatori Kaspersky, inoltre, hanno pubblicato tutti gli indicatori di compromissione (IoC) che possono tornare utili agli amministratori di sistema e agli analisti di sicurezza per individuare e identificare il trojan Cookiethief.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5