Κακόβουλο λογισμικό FFDroider

Κακόβουλο λογισμικό FFDroider Περιγραφή

Το κακόβουλο λογισμικό FFDroider έχει κατηγοριοποιηθεί ως infotealer. Αυτό το συγκεκριμένο κομμάτι κακόβουλου λογισμικού έχει σχεδιαστεί για να εστιάζει στους λογαριασμούς των μέσων κοινωνικής δικτύωσης του θύματος και να εξάγει όσο το δυνατόν περισσότερες πληροφορίες από αυτούς. Τεχνικές λεπτομέρειες σχετικά με την απειλή κυκλοφόρησαν σε έκθεση των ερευνητών που ανέλυσαν αρκετά δείγματα της απειλής.

Η Αλυσίδα Λοιμώξεων

Όπως πολλές απειλές κακόβουλου λογισμικού, το FFDroider διαδίδεται επίσης μέσω παραβιασμένων βιντεοπαιχνιδιών και ρωγμών λογισμικού, δωρεάν εφαρμογών και παιχνιδιών ή άλλων δημοφιλών αρχείων που λαμβάνονται από σκιερούς ιστότοπους torrent. Το FFDroider θα αναπτυχθεί στις συσκευές του χρήστη μαζί με τα ληφθέντα στοιχεία. Για να αποφευχθεί η δημιουργία υποψιών και η ανίχνευση, η απειλή θα μεταμφιεστεί ως η επιτραπέζια έκδοση του προγράμματος-πελάτη Telegram. Μία από τις πρώτες ενέργειες που θα κάνει το κακόβουλο λογισμικό θα είναι η δημιουργία ενός νέου κλειδιού μητρώου των Windows με το όνομα "FFDroider".

Μόλις εγκατασταθεί στο σύστημα, το κακόβουλο λογισμικό θα αρχίσει να εξάγει δεδομένα που είναι αποθηκευμένα στα εγκατεστημένα προγράμματα περιήγησης Ιστού. Το Google Chrome και άλλα προγράμματα περιήγησης που βασίζονται στο Chromium, ο Mozilla Firefox, ο Microsoft Edge και ο Internet Explorer μπορούν όλα να επηρεαστούν από την απειλή. Για να αποκτήσει τα δεδομένα από το cookie Chromium SQLite και τα αποθηκευμένα διαπιστευτήρια, το FFDroider χρησιμοποιεί το Windows Crypt API και πιο συγκεκριμένα, τη συνάρτηση CryptUnProtectData. Για τα άλλα στοχευμένα προγράμματα περιήγησης, η απειλή καταχράται λειτουργίες, όπως το InternetGetCookieRxW και το Cookie IEGet ProtectedMode.

Τα αποκρυπτογραφημένα δεδομένα καταλήγουν σε πληροφορίες καθαρού κειμένου που περιέχουν τα διαπιστευτήρια του λογαριασμού του θύματος, όπως ονόματα χρήστη και κωδικούς πρόσβασης. Στη συνέχεια, οι εξαγόμενες λεπτομέρειες εξάγονται στον διακομιστή Command-and-Control της λειτουργίας μέσω ενός αιτήματος HTTP POST.

Απειλητικοί στόχοι

Οι χειριστές του FFDroider δεν αρκούνται στο να έχουν απλώς πρόσβαση στους λογαριασμούς του θύματος. Όχι, το FFDroider έχει σχεδιαστεί με πρόσθετες επεμβατικές δυνατότητες. Πράγματι, ως μέρος των ενεργειών της, η απειλή χρησιμοποιεί τα αποκτηθέντα ονόματα χρήστη και κωδικούς πρόσβασης για τον έλεγχο ταυτότητας και πρόσβαση στα μέσα κοινωνικής δικτύωσης και τους λογαριασμούς ηλεκτρονικού εμπορίου του χρήστη στο Facebook, το Amazon, το eBay, το Instagram, το Etsy, το Twitter και το πορτοφόλι Wax Cloud.

Για παράδειγμα, το FFDroider μπορεί να ανοίξει το Facebook του θύματος και να ανακτήσει όλες τις σελίδες και τους σελιδοδείκτες του Facebook, τον αριθμό των φίλων και τα στοιχεία χρέωσης και πληρωμής του λογαριασμού που λαμβάνονται από τον διαχειριστή διαφημίσεων του Facebook. Στο Instagram, η απειλή θα ανοίξει τη σελίδα επεξεργασίας λογαριασμού για να δει τη διεύθυνση email του χρήστη, τον αριθμό τηλεφώνου, το όνομα χρήστη, τον κωδικό πρόσβασης και άλλες εμπιστευτικές λεπτομέρειες.

Θα πρέπει να σημειωθεί ότι το FFDroid διαθέτει τη δυνατότητα λήψης και ανάπτυξης πρόσθετων κατεστραμμένων λειτουργικών μονάδων στα μολυσμένα συστήματα. Κάτι τέτοιο μπορεί να επιτρέψει στους επιτιθέμενους να εκτελέσουν διάφορες άλλες επεμβατικές ενέργειες ανάλογα με τους συγκεκριμένους στόχους τους.