Los expertos de Kaspersky han descubierto dos nuevas variantes de malware para Android que, al combinarse, pueden robar las cookies recogidas por el navegador y las aplicaciones de redes sociales más populares. Los ladrones se hacen así con el control de la cuenta de la víctima de forma discreta y pueden enviar contenido malicioso.

Las cookies son pequeños fragmentos de datos recopilados por las páginas web para rastrear la actividad online de los usuarios con el objetivo de crear experiencias personalizadas en el futuro. Aunque a menudo se perciben como una molestia inofensiva, si caen en las manos equivocadas pueden suponer un riesgo para la seguridad. Esto se debe a que, cuando las páginas web almacenan estas cookies, utilizan una ID de sesión única que reconoce al usuario en el futuro sin la necesidad de emplear una contraseña o un nombre. Una vez en posesión del ID de un usuario, los estafadores pueden engañar a las webs para que piensen que son la víctima y tomar el control de su cuenta. Esto es exactamente lo que hicieron estos ladrones de cookies al desarrollar troyanos con una codificación similar y controlados por el mismo servidor de comando y control (C&C). 

El primer troyano adquiere los derechos root en el dispositivo de la víctima, lo que permite trasladar las cookies de Facebook a sus propios servidores.

No obstante, a menudo, el simple hecho de disponer del ID no es suficiente para tomar el control de una cuenta. Algunos sitios web cuentan con medidas de seguridad que impiden los intentos de registro sospechosos. Por ejemplo, si un usuario, que estaba activo hace escasos minutos desde Chicago, intentara entrar a continuación desde Bali. Es entonces donde entra en acción el segundo troyano. Esta aplicación maliciosa puede ejecutar un servidor proxy en el dispositivo de la víctima para eludir las medidas de seguridad, accediendo sin sospechas. A partir de ahí, los ciberdelincuentes pueden hacerse pasar por la víctima y tomar el control de su cuenta en la red social para distribuir contenido no deseado.  

Si bien el objetivo final de los ladrones de cookies sigue siendo desconocido, una página descubierta en el mismo servidor de C&C podría dar una pista: esta página anuncia servicios para distribuir spam en redes sociales y programas de mensajería. Dicho de otro modo, los ladrones pueden estar buscando el acceso a la cuenta como una forma de lanzar ataques generalizados de spam y phishing.

«Al combinar dos ataques, los ladrones de cookies han descubierto una manera de obtener el control de la cuenta de sus víctimas sin levantar sospechas. Aunque se trata de una amenaza relativamente nueva, hasta ahora solamente se han visto afectados 1.000 usuarios, el número está creciendo y es muy probable que siga haciéndolo, sobre todo porque es muy difícil que las páginas web lo detecten. Aunque normalmente no prestamos atención a las cookies cuando navegamos, son otro medio de procesar nuestra información personal. Tenemos que prestar atención cada vez que se recogen datos sobre nosotros online’’, señala Igor Golovin, analista de malware.