Haberler

Facebook Hesaplarını Çalan Android Tabanlı Kötü Amaçlı Yazılım Tespit Edildi

Bilgi Güvende

tarafından

17 Mart 2020

tarihinde yayımlandı

Tespit edilen basit ama tehlikeli Android tabanlı kötü amaçlı yazılımın, mobil tarayıcı ve uygulamalardan kullanıcı bilgileri çaldığı anlaşıldı.
“Cookiethief” olarak adlandırılan saldırı, siber suçlulara arka kapı (trojan) erişimi sağlıyor. Chrome uygulamalarının yanı sıra Facebook hesaplarına sızabilen cookithief tarafından ele geçirilen bilgiler, siber suçluların denetimindeki bir sunucuya aktarılıyor.

Güvenlik araştırmacıları, yeni tespit edilen saldırının sadece Chrome tarayıcıları veya Facebook uygulamasındaki güvenlik açığından kaynaklanmadığını belirtiyor. Cookiethief diğer uygulamalara bağlı her türlü web sayfasından çerez (cookie) çalarak kullanıcı bilgilerine ulaşabiliyor.

Çerezler, tarayıcı kullanıcılarını birbirinden ayırt etmek için kullanılan küçük veri paketleri olarak tanımlanır. Kullanıcıya özel arama geçmişi ve hesap bilgileri gibi verileri saklayan çerezler, web sayfalarında beliren reklamların içeriğini de belirliyor.

Çerezler, kullanıcıların web sayfalarına kullanıcı ismi ve şifreleri ile giriş yaptıktan sonra istedikleri takdirde sürekli bağlı kalmalarını, yani hesaplarının aktif kalmasını sağlar. Cookiethief, çerezlerin bu özelliğinden yararlanarak mağdurların web sayfalarına veya uygulamalarına şifre kullanmadan sızabiliyor.

Araştırmacıların dikkat çektiği bir diğer nokta, Cookiethief adlı trojanın mobil cihazlara birçok şekilde bulaşabileceği. Satın alımdan önce kötü amaçlı yazılım donanıma sızabileceği gibi işletim sistemindeki zafiyetlerden de yararlanabilir ve kötü amaçlı yazılımları cihaza yükleyebilir.

Coğrafi konumu taklit edebiliyor

Facebook, iki adımlı doğrulama kapsamında hesaplara şüpheli giriş yapıldığında konum ve cihaz belirterek kullanıcıya doğrulama mesajı gönderiyor. Ancak siber suçluların “Youzicheng” adında ikinci bir kötü amaçlı yazılım kullanarak bu süreci de aşabildiği belirtildi. Youzicheng, ikincil bir yetkili sunucu (proxy server) oluşturarak şüpheli girişi kullanıcının coğrafi adresini göstererek onaylatıyor.

Böylece, siber saldırganlar mağdurların Facebook hesabına veya diğer uygulamalara şüphe uyandırmadan giriş yapabiliyor. Uzmanlar, Cookiethief saldırısı ile siber suçluların ele geçirdikleri sosyal medya hesapları üzerinden spam yayma ve oltalama saldırıları gerçekleştirmeyi amaçladığını düşünüyor.

Henüz bin civarı cihazda tespit edilmiş olsa da ciddi bir tehdit olarak kabul edilen Cookiethief‘e karşı korunabilmek için tüketicilerin mobil tarayıcılarına “üçüncü parti çerezleri bloke edebilen” güvenli bir eklenti indirmesi tavsiye ediliyor.