Kaspersky uzmanları,
birlikte hareket ederek tarayıcıdaki ve popüler sosyal ağ sitelerinin
uygulamalarındaki çerezleri çalabilen iki yeni Android zararlı yazılımı
keşfetti. Saldırganlar bu sayede kurbanların hesaplarını ele geçirip kötü
niyetli içerikler yayabiliyor.
Web sitelerinin kullanıcılara kişisel bir deneyim sunmak
amacıyla internetteki aktiviteleri takip etmek için topladığı küçük veri
parçacıklarına çerez adı veriliyor. Çerezler genellikle zararsız olarak kabul
edilseler de yanlış ellere geçtiklerinde güvenlik riski oluşturabiliyor. Web
siteleri bu çerezleri sakladığında, kullanıcıyı parola olmadan tanıyabilmek
için bir oturum kimliği oluşturuyor. Kullanıcının kimliğini ele geçiren
saldırganlar web sitelerini kandırıp kurban adına giriş yaparak hesapları ele
geçirebiliyor. Aynı komut ve kontrol sunucusunu kullanan iki adet Truva atı da
çerezleri çalarak bunu yapmaya çalışıyor.
Tespit edilen ilk Truva atı kurbanın cihazında kök haklarını
elde ederek hırsızların Facebook çerezlerini kendi sunucularına aktarmasını
sağlıyor.
Ancak yalnızca kimlik numarasına sahip olmak hesabın
kontrolünü ele geçirmeye genellikle yeterli olmuyor. Bazı web siteleri şüpheli
giriş denemelerini önlemek için güvenlik önlemleri alıyor. Örneğin daha önce
Chicago’da aktif olan bir kullanıcı birkaç dakika sonra Bali’den giriş
yaptığında alınan önlemler hesabın kullanılmasını engelliyor.
İkinci Truva atı burada devreye giriyor. Bu zararlı uygulama
kurbanın cihazında bir vekil sunucu çalıştırarak şüphe uyandırmadan güvenlik
önlemlerini atlatıyor. Saldırganlar bu şekilde hesabın sahibi gibi davranıp
sosyal medya üzerinden istenmeyen içerikleri yaymaya başlıyor.
Çerez hırsızlarının asıl amacı henüz bilinmese de komut ve
kontrol sunucusundaki bir sayfa ipucu veriyor. Tespit edilen sayfada sosyal
ağlar ve mesajlaşma uygulamaları üzerinden spam gönderme hizmetlerinin
reklamları bulunuyor. Diğer bir deyişle, hırsızlar geniş ölçekli spam ve kimlik
avı saldırıları için erişebilecekleri hesaplar arıyor.
Zararlı Yazılım Analisti Igor Golovin, “İki saldırıyı birleştiren
çerez hırsızları, kurbanların hesaplarını şüphe uyandırmadan ele geçirmenin bir
yolunu keşfetmiş. Bu yeni sayılabilecek tehdit ile şimdiye kadar yaklaşık 1000
kişi hedef alındı. Bu sayı artıyor ve artmaya devam edecek çünkü web
sitelerinin bunu tespit etmesi çok zor. İnternette dolaşırken çerezlere çok
dikkat etmesek de bu da aslında kişisel verilerimizin işlendiği bir yöntem.
İnternette kişisel veri toplanan her şeye dikkat gösterilmesi gerekiyor.” dedi.
