Le Cookiethief, repéré par Kaspersky, s’attaque aux smartphones Android pour voler les cookies des app et des sites. Il s’en sert ensuite pour s’identifier sur ces mêmes apps et sites.

Une nouvelle génération de chevaux de Troie s’attaque aux appareils Android pour voler les cookies issus des applications et des navigateurs, d’après Kaspersky. Une fois en possession des cookies, et avec l’aide d’un proxy, le hacker va pouvoir se connecter au compte Facebook de la cible. Il peut ensuite voler ses données personnelles ou se servir du compte pour faire de l’hameçonnage à destination des contacts de la victime. Le malfaiteur va ainsi pouvoir contaminer encore plus de personnes avec ses logiciels malveillants.

Image d'erreur

Le Cookiethief s’attaque aux appareils Android. // Source : Numerama

Le Cookiethief, un nouveau malware Android

Les cookies sont de petits traqueurs qui permettent de collecter toutes sortes de données. Elles servent ensuite à personnaliser le contenu d’un site, mieux cibler la publicité, obtenir des indicateurs sur le trafic du site ou à différentes analyses de tendances. Un certain type de cookie permet de générer un identifiant de session unique pour permettre aux utilisateurs de rester connectés à un service — sur Facebook, par exemple.

En quelques sortes, ce type de cookie sert de carte d’identité validée par le site auquel il est lié. Si un malfaiteur parvient à le voler, il peut donc faire de l’abus d’identité : l’acteur malveillant fera croire au site qu’il est le propriétaire du compte, afin de s’y connecter. Il pourra ensuite voler toutes sortes de données personnelles, voire tout simplement prendre le contrôle.

Sauf que cette éventualité est prise en compte dans la sécurité des plus grosses applications comme Facebook, capables de détecter ce genre de tromperie, et d’immédiatement fermer l’accès au compte. C’est ici que se distingue la nouvelle famille de voleurs de cookies découverte par Kaspersky, baptisée Cookiethief : elle parvient à contourner ces protections.

En plus de voler les cookies, le malware peut déployer un proxy

Le logiciel malveillant commence par acquérir les droits de superutilisateur sur le smartphone Android infecté. Ensuite, il installe une porte dérobée, qui va offrir un point d’entrée pour un service à distance contrôlé par les hackers. Ils vont utiliser ce canal pour passer des commandes en tant que superutilisateur et voler les cookies.

L’opération fonctionne en théorie pour plusieurs sites, mais les cas repérés par Kaspersky visent Facebook. Si cette app est la plus visée par les hackers, c’est probablement à cause de sa popularité et du nombre de données personnelles qu’elle concentre. En revanche cette manipulation n’est pas synonyme de vulnérabilité du côté de Facebook.

1 000 appareils infectés

Une fois les cookies volés, Cookiethief va déployer sa deuxième branche. Elle lance un proxy — un serveur par lequel va passer la connexion Internet — sur l’appareil de la victime pour déguiser les requêtes de connexion et tromper les barrières de Facebook..

Le tour est joué ! Les criminels peuvent se faire passer pour leurs victimes et diffuser des liens de phishing sur le réseau social. Cet hameçonnage sera d’autant plus susceptible de fonctionner que les amis Facebook penseront qu’il provient d’une personne de confiance.

Kaspersky a détecté plus de 1 000 appareils infectés par Cookiethief, mais n’a pas pu définir précisément son origine ni son mode de contamination. L’entreprise suspecte qu’il soit lié à des chevaux de Troie déjà existants, déployés dans les basses couches logicielles ou dans les systèmes d’exploitation mal sécurisés de certains constructeurs.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.