FFDroider Malware

FFDroider Malware er blevet kategoriseret som en infostealer. Dette særlige stykke malware er designet til at fokusere på ofrets sociale mediekonti og udtrække så meget information fra dem som muligt. Tekniske detaljer om truslen blev offentliggjort i en rapport fra forskerne, som analyserede flere prøver af truslen.

Infektionskæden

Ligesom mange malware-trusler bliver FFDroider også spredt via kompromitterede videospil og software-cracks, gratis applikationer og spil eller andre populære filer, der downloades fra lyssky torrent-websteder. FFDroider vil blive implementeret på brugerens enheder sammen med de downloadede elementer. For at undgå at rejse mistanke og blive opdaget, vil truslen forklæde sig som desktopversionen af Telegram-klienten. En af de første handlinger, som malwaren tager, vil være at oprette en ny Windows-registreringsnøgle med navnet 'FFDroider'.

Når først den er etableret på systemet, begynder malwaren at udtrække data, der er gemt i de installerede webbrowsere. Google Chrome og andre Chromium-baserede browsere, Mozilla Firefox, Microsoft Edge og Internet Explorer kan alle blive påvirket af truslen. For at få data fra Chromium SQLite-cookien og de gemte legitimationsoplysninger, bruger FFDroider Windows Crypt API og mere specifikt CryptUnProtectData-funktionen. For de andre målrettede browsere misbruger truslen funktioner, såsom InternetGetCookieRxW og IEGet ProtectedMode Cookie.

De dekrypterede data resulterer i klartekstinformation, der indeholder ofrets kontooplysninger, såsom brugernavne og adgangskoder. De udtrukne detaljer eksfiltreres derefter til kommando-og-kontrol-serveren for operationen via en HTTP POST-anmodning.

Truende mål

Operatørerne af FFDroider er ikke tilfredse med blot at få adgang til ofrets konti. Nej, FFDroider er designet med yderligere invasive muligheder. Som en del af sine handlinger bruger truslen faktisk de opnåede brugernavne og adgangskoder til at autentificere og få adgang til brugerens sociale medier og e-handelskonti på Facebook, Amazon, eBay, Instagram, Etsy, Twitter og Wax Cloud-pungen.

For eksempel kan FFDroider åbne offerets Facebook og hente alle Facebook-sider og bogmærker, antallet af venner og kontoens fakturerings- og betalingsoplysninger taget fra Facebook Ads Manager. På Instagram vil truslen åbne kontoredigeringssiden for at se brugerens e-mailadresse, telefonnummer, brugernavn, adgangskode og andre fortrolige detaljer.

Det skal bemærkes, at FFDroid besidder evnen til at downloade og installere yderligere beskadigede moduler på de inficerede systemer. At gøre det kan give angriberne mulighed for at udføre forskellige andre invasive handlinger afhængigt af deres specifikke mål.