Os atacantes tentam obter os cookies de utilizador através do browser web ou de outras aplicações, incluindo o Chrome e Facebook, instalados em dispositivos comprometidos.

Este malware é mais especificamente designado por "Cookiethief" e funciona adquirindo direitos de superuser no dispositivo e, a partir daí, transfere os cookies roubados para um servidor remoto de comando e controlo (C&C) controlado pelos atacantes.

Como funciona?

Normalmente os cookies são utilizados para que um utilizador não tenha de colocar a palavra-passe sempre que se dirige a um serviço online para se autenticar. Desta forma, ao usá-los, consegue entrar mais rapidamente. O objetivo do malware é essencialmente procurar estes dados e ganhar acesso não autorizado.

A forma como entra no dispositivo da vítima é muito dinâmica, existindo diversas maneiras de o conseguir, quer através de engenharia social, quer através de colocar o malware no firmware no dispositivo antes de o comprar.

Como ultrapassar o mecanismo de proteção do facebook?

É nesta parte que, aliado à primeira peça de malware, surge uma segunda, o 'Youzicheng,', que cria um servidor proxy no dispositivo para impersonificar a localização geográfica da vítima, e desta forma fazer parecer que o acesso à conta é legítimo.

Como prevenir?

- Bloquear cookies de terceiras-partes dos browsers do telemóvel

- Limpar os cookies regularmente

- Visitar sites em modo privado

Mais informações: https://www.zdnet.com/article/android-malware-tweaks-expose-devices-to-browser-app-cookie-theft/