Malware FFDroider

Malware FFDroider Popis

Malware FFDroider byl zařazen do kategorie infostealer. Tento konkrétní malware je navržen tak, aby se zaměřil na účty obětí na sociálních sítích a získal z nich co nejvíce informací. Technické podrobnosti o hrozbě byly zveřejněny ve zprávě vědců, kteří analyzovali několik vzorků hrozby.

Infekční řetězec

Stejně jako mnoho malwarových hrozeb se FFDroider také šíří prostřednictvím kompromitovaných videoher a softwarových cracků, bezplatných aplikací a her nebo jiných oblíbených souborů stažených z stinných torrentových webů. FFDroider bude nasazen na zařízení uživatele spolu se staženými položkami. Aby nedošlo k vyvolání podezření a odhalení, hrozba se přestrojí za desktopovou verzi klienta Telegram. Jednou z prvních akcí, které malware provedl, bude vytvoření nového klíče registru Windows s názvem „FFDroider“.

Po zavedení do systému začne malware extrahovat data uložená v nainstalovaných webových prohlížečích. Hrozbou mohou být ovlivněny Google Chrome a další prohlížeče založené na Chromiu, Mozilla Firefox, Microsoft Edge a Internet Explorer. K získání dat ze souboru cookie Chromium SQLite a uložených přihlašovacích údajů využívá FFDroider rozhraní Windows Crypt API a konkrétněji funkci CryptUnProtectData. U ostatních cílových prohlížečů hrozba zneužívá funkce, jako je InternetGetCookieRxW a IEGet ProtectedMode Cookie.

Výsledkem dešifrovaných dat jsou prosté textové informace obsahující přihlašovací údaje k účtu oběti, jako jsou uživatelská jména a hesla. Extrahované podrobnosti jsou poté exfiltrovány na server Command-and-Control operace prostřednictvím požadavku HTTP POST.

Ohrožující cíle

Provozovatelé FFDroider se nespokojí s pouhým získáním přístupu k účtům obětí. Ne, FFDroider je navržen s dalšími invazivními schopnostmi. V rámci svých akcí hrozba skutečně používá získaná uživatelská jména a hesla k ověření a přístupu k účtům sociálních médií a eCommerce uživatele na Facebooku, Amazonu, eBay, Instagramu, Etsy, Twitteru a peněžence Wax Cloud.

FFDroider může například otevřít Facebook oběti a načíst všechny facebookové stránky a záložky, počet přátel a fakturační a platební údaje účtu převzaté ze správce Facebook Ads. Na Instagramu hrozba otevře stránku pro úpravy účtu, kde se zobrazí e-mailová adresa uživatele, telefonní číslo, uživatelské jméno, heslo a další důvěrné údaje.

Je třeba poznamenat, že FFDroid má schopnost stáhnout a nasadit další poškozené moduly na infikované systémy. Díky tomu mohou útočníci provádět různé další invazivní akce v závislosti na jejich konkrétních cílech.