CookieThief, nuevo malware para Android roba las cookies de Facebook

CookieThief, nuevo malware para Android roba las cookies de Facebook

Investigadores de seguridad han detallado un nuevo ciberataque dirigido contra Facebook cuyo objetivo es conseguir credenciales de acceso (usuario/contraseña) de otros usuarios, a través de un ataque conocido como CookieThief y que consiste en implantar un malware que roba las cookies de sesión de Facebook de nuestro terminal Android.

Los expertos son de la firma Kaspersky, y han encontrado dos variantes de este malware para Android. Cuando se combinan, se enfocan a conseguir privilegios de super-administrador (root) en el dispositivo, para transferir las cookies de la App de Facebook a un servidor de control (C2).

No se sabe cómo es que el troyano aterriza en el dispositivo, pero se sabe que la causa no es un fallo de la propia aplicación.

CookieThief ,troyano de android roba las cookies de la app Facebook

Los ciberdelincuentes intentan hacerlo creando dos troyanos diferentes con código fuente similar, ambos controlados por el mismo C&C (Command & Control server). Esta combinación les permite obtener control de cuentas sociales sin despertar sospechas en Facebook, para enviar contenido malicioso, como campañas de Spam y Phishing.

Los sitios web utilizan cookies para almacenar los IDs de sesión únicos, para que así los usuarios puedan volver a entrar al mismo sitio sin tener que iniciar sesión cada vez. Alguien que robe una cookie podría usarla para iniciar sesión en nombre de la persona que la generó en primer lugar.

El primer troyano, comentan, obtiene los privilegios root en el dispositivo, lo que les permite enviar cookies a los servidores que controlan. A veces un número de ID por sí mismo no es suficiente para conseguir la cuenta. Algunas webs, incluida Facebook, tienen medidas para bloquearlo situaciones como inicios de sesión en lugares muy distantes.

Por esto es por lo que se diseñó el segundo troyano, que ellos llaman Youzicheng y que parece ser de los mismos creadores. Es una app maliciosa que ejecuta un servidor proxy en el terminal, para saltarse las restricciones del sitio web.

CookieThief actualmente no es muy preocupante porque el número de ataques no ha superado los 1000, pero su tendencia es al alza.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.