Especialistas da Kaspersky descobriram dois malware modificados para o Android que, quando associados, conseguem roubar os cookies do navegador e aplicativos de redes sociais populares. Com estas informações, os cibercriminosos podem, discretamente, controlar as contas online da vítima e usá-las para disseminar ciberataques.
Cookies são pequenos fragmentos de dados coletados por sites para rastrear a atividade online dos usuários e tentar criar experiências personalizadas no futuro. Neles podem ser guardadas informações como suas preferências de visualização do site, mas também informações sobre a sessão atual. Embora muitas vezes sejam considerados uma perturbação inofensiva, se caírem nas mãos erradas, podem ser um risco à segurança.
Quando os sites armazenam esses cookies, eles usam um identificador de sessão (Session ID) exclusivo que identifica o usuário sem exigir uma senha ou login. Caso um criminoso tenha acesso a esse ID, ele consegue se passar pela vítima e acessar serviços online, assumindo o controle da conta.
Foi exatamente isso que os ladrões de cookies fizeram ao desenvolverem trojans com códigos similares controlados pelo mesmo servidor de comando e controle (C&C). O primeiro programa malicioso tem como objetivo obter direitos de administrador (root) no dispositivo da vítima. Assim os criminosos conseguem acesso aos cookies armazenados pelos navegadores e aplicativos como o do Facebook, e podem transferí-los para seus próprios servidores.
Algumas vezes, só a ID não é suficiente para controlar a conta da vítima, pois alguns sites têm medidas de segurança em operação para evitar tentativas suspeitas de login. Por exemplo, quando um usuário brasileiro ativo tenta entrar alguns minutos depois com um acesso originário de Bali.
É neste momento que o segundo trojan entra em ação e executa um servidor proxy no dispositivo da vítima para burlar as medidas de segurança. Os criminosos usam este proxy como um intermediário na conexão, fazendo com que para o servidor o acesso pareça vir do celular da vítima. Com isso eles conseguem acesso sem levantar suspeitas e assumem o controle das redes sociais da vítima para distribuir conteúdo indesejado.
Uma página descoberta no mesmo servidor de C&C com o qual os programas interagem deu uma pista do objetivo dos malfeitores: ela anuncia um servidor de distribuição de spam em redes sociais e mensagens instantâneas, muito provavelmente usando as contas das vítimas como intermediárias.
“Embora seja uma ameaça relativamente nova — até agora cerca de 1.000 pessoas foram atacadas — esse número está aumentando e provavelmente continuará crescendo, especialmente porque sua detecção pelos sites é muito difícil. Normalmente, nós não prestamos atenção aos cookies enquanto navegamos pela web, mas eles são uma maneira de processar nossas informações pessoais e, sempre que nossos dados são coletados online, precisamos estar atentos”, diz o analista de malware da Kaspersky, Igor Golovin.
Como posso me proteger?
Além do uso de um antivírus no celular, para se proteger deste golpe vocẽ pode:
- Bloquear o acesso de terceiros aos cookies armazenados no celular. No Chrome, isso pode ser feito clicando nos três pontos no canto superior direito da tela e em Configurações. Selecione a opção Configurações do site / Cookies e marque a opção Bloquear cookies de terceiros. No Firefox toque nos três pontos e em Configurações / Privacidade / Cookies. Marque a opção Ativados, exceto de terceiros.
- Configurar o navegador para limpar (excluir) os cookies automaticamente quando for fechado. O Chrome para Android não tem esta opção, mas no Firefox vá em Configurações / Privacidade / Cookies / Limpar dados ao sair.
- Limpar os cookies periodicamente. No Firefox vá em Configurações / Limpar dados privativos. No Chrome o caminho é Configurações / Privacidade / Limpar dados de navegação. Em ambos os casos, você pode selecionar quais dados apagar, além dos cookies, antes de clicar em Limpar dados.