Зловреден софтуер FFDroider

Зловредният софтуер FFDroider е категоризиран като крадец на информация. Този конкретен зловреден софтуер е предназначен да се фокусира върху акаунтите на жертвата в социалните медии и да извлече възможно най-много информация от тях. Технически подробности за заплахата бяха публикувани в доклад от изследователите, които анализираха няколко проби от заплахата.

Веригата на инфекцията

Подобно на много заплахи от зловреден софтуер, FFDroider също се разпространява чрез компрометирани видеоигри и софтуерни кракове, безплатни приложения и игри или други популярни файлове, изтеглени от сенчести торент уебсайтове. FFDroider ще бъде разгърнат на устройствата на потребителя заедно с изтеглените елементи. За да избегнете подозрения и да бъде открита, заплахата ще се маскира като десктоп версията на клиента Telegram. Едно от първите действия, предприети от злонамерения софтуер, ще бъде да създаде нов ключ в системния регистър на Windows с име „FFDroider“.

След като се установи в системата, зловредният софтуер ще започне да извлича данни, съхранявани в инсталираните уеб браузъри. Google Chrome и други базирани на Chromium браузъри, Mozilla Firefox, Microsoft Edge и Internet Explorer могат да бъдат засегнати от заплахата. За да получи данните от бисквитката на Chromium SQLite и съхранените идентификационни данни, FFDroider използва Windows Crypt API и по-конкретно функцията CryptUnProtectData. За другите целеви браузъри заплахата злоупотребява с функции, като InternetGetCookieRxW и IEGet ProtectedMode Cookie.

Декриптираните данни водят до информация в ясен текст, съдържаща идентификационни данни за акаунта на жертвата, като потребителски имена и пароли. След това извлечените подробности се ексфилтрират към сървъра за командване и управление на операцията чрез HTTP POST заявка.

Застрашаващи цели

Операторите на FFDroider не се задоволяват само с получаването на достъп до акаунтите на жертвата. Не, FFDroider е проектиран с допълнителни инвазивни възможности. Всъщност, като част от своите действия, заплахата използва получените потребителски имена и пароли за удостоверяване и достъп до социалните медии и акаунтите за електронна търговия на потребителя във Facebook, Amazon, eBay, Instagram, Etsy, Twitter и портфейла Wax Cloud.

Например, FFDroider може да отвори Facebook на жертвата и да извлече всички Facebook страници и отметки, броя на приятелите и информацията за фактуриране и плащане на акаунта, взета от мениджъра на Facebook Ads. В Instagram заплахата ще отвори страницата за редактиране на акаунта, за да видите имейл адреса, телефонния номер, потребителското име, паролата и други поверителни подробности на потребителя.

Трябва да се отбележи, че FFDroid притежава способността да изтегля и разгръща допълнителни повредени модули в заразените системи. Това може да позволи на нападателите да извършват различни други инвазивни действия в зависимост от техните специфични цели.