Android-Nutzer aufgepasst: Social-Media-Accounts über Cookies gekapert

Bei Cookies handelt es sich zunächst einmal um Datensätze kleinen Umfangs, über die Webseiten das Verhalten der Nutzer erkennen und dementsprechend eine personalisierte User Experience gestalten können. So nutzen einige Webseiten Cookies, um den Anwender über eine eindeutige Session-ID zu identifizieren. Dadurch wird ein erneutes Anmelden – etwa bei Sozialen Netzwerken – vermieden. Kommen jedoch Dritte wie beispielsweise Cyberkriminelle in den Besitz dieser ID, können sie in fremde Accounts eindringen und die Kontrolle darüber übernehmen.

So haben die Experten von Kaspersky nun zwei ähnlich kodierte Trojaner entdeckt, die es auf das Sammeln von Cookies abgesehen haben und von ein und demselben Command-and-Control-Server (C&C) gesteuert werden. Der erste Trojaner verschafft sich auf den Android-Handys seiner Opfer Root-Rechte und überträgt damit die Facebook-Cookies an den C&C-Server. Viele Webseiten haben allerdings Sicherheitsmechanismen eingebaut, die überprüfen, ob etwa ein und derselbe Nutzer innerhalb weniger Minuten von zwei unterschiedlichen Kontinenten aus auf seinen Account zugreifen möchte. Hier kommt der zweite Trojaner ins Spiel. Diese schädliche App fungiert als Proxy-Server, mit dem die Sicherheitsmaßnahmen der Webseiten-Betreiber umgangen werden. So erhalten die Cyberkriminellen unbemerkt vollen Zugriff auf den Social-Media-Account des Opfers und können ihn zur Verbreitung unerwünschter Inhalte verwenden.

Auch wenn die genauen Ziele der Angreifer noch im Dunkeln bleiben, gibt es Hinweise auf den eigentlichen Angriffszweck, denn eine auf demselben C&C-Server entdeckte Webseite bewirbt Dienstleistungen zur Verbreitung von Spam über Soziale Medien und Messenger-Dienste. Es kann daher angenommen werden, dass die Cookie-Diebe möglicherweise nach Kontozugängen suchen, um Spam und Phishing via der kompromittierten Accounts zu verbreiten. 

„Die Kombination von zwei Angriffsformen eröffnet Cookie-Dieben die Möglichkeit, auf Nutzer-Accounts zuzugreifen ohne dabei Verdacht zu erregen“, fasst Igor Golovin, Malware-Analyst bei Kaspersky zusammen. „Es handelt sich dabei um eine noch neuartige Gefahr, denn bislang wurden erst etwa 1.000 Opfer angegriffen. Vermutlich wird die Zahl der Opfer zukünftig steigen, zumal die Angriffe von den betroffenen Webseiten nur sehr schwer erkannt werden können. Auch wenn wir normalerweise beim Surfen im Web Cookies kaum Beachtung schenken, stellen sie doch eine weitere Variante der Verarbeitung persönlicher Informationen dar. Immer dann, wenn unsere Daten online gesammelt werden, sollten wir besonders aufmerksam sein.“

Kaspersky: Maßnahmen gegen das Cookie-Risiko

Zur Vermeidung von Cookie-Diebstahl geben die Kaspersky-Experten folgende Empfehlungen:

• Nutzer sollten bei den auf Android-Smartphones genutzten Browsern den Zugriff auf Cookies durch Dritte blockieren. Daten sollten nur bis zum Ende der Browsernutzung gespeichert bleiben.
• Generell sollten Cookies regelmäßig gelöscht werden.
• Verlässliche Sicherheitslösungen wie Kaspersky Security Cloud [2] verfügen über eine Private-Browsing-Funktion, der verhindert, dass Webseiten Informationen über die Nutzeraktivitäten sammeln können.

Die komplette Analyse von Kaspersky ist unter https://securelist.com/cookiethief/96332 verfügbar.

[1] https://securelist.com/cookiethief/96332
[2] https://www.kaspersky.de/security-cloud 

Nützliche Links:

• Kaspersky-Analyse: https://securelist.com/cookiethief/96332 
• Kaspersky Security Cloud: https://www.kaspersky.de/security-cloud