Cyberthreat.id - Penjahat siber seolah tak pernah kehabisan akal untuk menjalankan aksinya. Sebuah trojan bernama Cookiethief mampu mencuri kuki (cookies) yang tersimpan di browser dan aplikasi pada perangkat yang disusupi. Facebook tampaknya menjadi target utama.

Dilansir dari ZDnet, Kamis (12 Maret 2020), peneliti dari Kaspersky mengatakan keluarga malware baru ini menggunakan kombinasi eksploit untuk memperoleh hak akses root dan mengoprek sistem operasi ponsel, lalu mencuri data kuki Facebook.

Kuki adalah data kecil yang dikumpulkan oleh situs web, layanan online, dan aplikasi seluler untuk melacak pengguna. Informasi ini dapat digunakan untuk tujuan pemasaran - termasuk pembuatan konten yang dipersonalisasi atau rekomendasi iklan - untuk melacak keterlibatan pengguna, atau untuk menyusun kumpulan data yang lebih luas tentang konsumen, seperti membaca pola dan minat pembelian mereka.

Kuki pada umumnya tidak dianggap berbahaya, meskipun mengganggu dan berpotensi menerabas privasi. Namun, ketika disimpan oleh situs web dan digunakan untuk menghasilkan ID sesi unik untuk memungkinkan pengguna tetap masuk ke layanan, kebocoran kuki bisa berpotensi membawa risiko keamanan.

Pelaku bisa jadi akan mengelabui sebuah situs web dengan mengaku-ngaku sebagai pemegang akun yang sah, yang mengarah pada peretasan akun, pencurian data, dan berpotensi pembajakan.

Kaspersky tidak sepenuhnya yakin bagaimana Cookiethief telah mendarat di perangkat yang sudah menunjukkan tanda-tanda infeksi - pada hitungan terakhir naik menjadi 1.000 kasus- tetapi begitu Trojan melakukannya, tahap pertama serangan itu adalah mendapatkan akses root pada perangkat seluler Android.

Bagaimana Malware CookieThief Bekerja
Dalam kasus yang didokumentasikan oleh Kaspersky, kuki Facebook adalah target utama. Tim menekankan tampaknya tidak ada kerentanan di aplikasi Facebook atau browser seluler yang memungkinkan pencurian data dan intrusi malware.

Bood backdoor diinstal pada saat infeksi yang menghubungkan ke server command-and-control (C2) dan menerabas perintah shell untuk mengeksekusi perintah "superuser" dan pencurian kuki.

Mencuri kuki saja tidak cukup untuk mendapat akses ke akun Facebook. Itu baru langkah pertama. Sebab, aktivitas mencurigakan dapat menyebabkan akun diblokir otomatis oleh Facebook.

Ini seperti diuraikan dalam Kebijakan Kuki Facebook yang antara lain menyebutkan,"Cookie dapat membantu kami mengidentifikasi dan melakukan tindakan keamanan tambahan saat seseorang mencoba mengakses akun Facebook tanpa otorisasi, misalnya, dengan menebak kata sandi yang berbeda. Kami juga menggunakan cookie untuk menyimpan informasi yang membuat kami dapat memulihkan akun Anda jika Anda lupa kata sandi atau mengharuskan autentikasi tambahan jika Anda memberi tahu kami bahwa akun Anda sudah diretas."

Itu sebabnya, masih ada satu tahap lagi yang harus dilalukan oleh Cookiethief. Tim menemukan cabang kedua malware dengan pengkodean yang sama dan koneksi server C2 (command to control yang dikendalikan peretas) yang sama. Malware ini meluncurkan proxy pada perangkat korban untuk membuat permintaan akses tampak sah.

"Dengan menggabungkan dua serangan ini, penjahat siber  dapat memperoleh kontrol penuh atas akun korban dan tidak menimbulkan kecurigaan dari Facebook," kata tim Kaspersky.

"Dari sana, para penjahat dapat berperan sebagai korban dan mengambil kendali atas akun jejaring sosial mereka untuk mendistribusikan konten yang tidak diinginkan."

Konten yang dimaksud kemungkinan adalah spam atau distribusi tautan berbahaya. Sebuah halaman web yang disimpan di C2 si penipu mengiklankan akun jejaring sosial dan layanan distribusi kurir, sehingga para peneliti yakin Trojan bisa menjadi hasil dari upaya menyebarkan spam dan serangan phishing.

Kaspersky mengatakan bahwa Cookiethief juga dapat dihubungkan ke Trojans yang ada termasuk Sivu, Triada, dan Ztorg, yang umumnya tertanam dalam firmware atau digunakan melalui kerentanan sistem operasi.[]