FFDroider-haittaohjelma

FFDroider-haittaohjelma on luokiteltu tietovarastavaksi. Tämä haittaohjelma on suunniteltu keskittymään uhrin sosiaalisen median tileihin ja poimimaan niistä mahdollisimman paljon tietoa. Uhkauksen tekniset tiedot julkaistiin raportissa, jonka tutkijat analysoivat useita uhkanäytteitä.

Infektioketju

Kuten monet haittaohjelmauhat, myös FFDroider leviää vaarantuneiden videopelien ja ohjelmistomurtumien, ilmaisten sovellusten ja pelien tai muiden suosittujen tiedostojen kautta, jotka on ladattu varjoilta torrent-sivustoilta. FFDroider otetaan käyttöön käyttäjän laitteilla ladattujen kohteiden rinnalla. Epäilysten ja havaitsemisen välttämiseksi uhka naamioituu Telegram-asiakkaan työpöytäversioksi. Yksi haittaohjelman ensimmäisistä toimista on uuden Windowsin rekisteriavaimen luominen nimeltä "FFDroider".

Kun haittaohjelma on luotu järjestelmään, se alkaa poimia asennettuihin verkkoselaimiin tallennettuja tietoja. Uhka voi vaikuttaa Google Chromeen ja muihin Chromium-pohjaisiin selaimiin, Mozilla Firefoxiin, Microsoft Edgeen ja Internet Exploreriin. Saadakseen tiedot Chromium SQLite -evästeestä ja tallennetuista tunnistetiedoista FFDroider käyttää Windows Crypt API:ta ja tarkemmin CryptUnProtectData-toimintoa. Muissa kohdistetuissa selaimissa uhka käyttää väärin toimintoja, kuten InternetGetCookieRxW ja IEGet ProtectedMode Cookie.

Salauksesta puretut tiedot johtavat selkeätekstitietoihin, jotka sisältävät uhrin käyttäjätunnukset, kuten käyttäjätunnukset ja salasanat. Poimitut tiedot suodatetaan sitten toiminnon Command-and-Control-palvelimelle HTTP POST -pyynnön kautta.

Uhkaavat maalit

FFDroiderin operaattorit eivät ole tyytyväisiä vain pääsyyn uhrin tileille. Ei, FFDroider on suunniteltu lisäämällä invasiivisia ominaisuuksia. Osana toimiaan uhka todellakin käyttää hankittuja käyttäjätunnuksia ja salasanoja käyttäjän sosiaalisen median ja verkkokaupan tilien todentamiseen ja pääsyyn Facebookissa, Amazonissa, eBayssa, Instagramissa, Etsyssä, Twitterissä ja Wax Cloud -lompakossa.

FFDroider voi esimerkiksi avata uhrin Facebookin ja hakea kaikki Facebook-sivut ja kirjanmerkit, ystävien lukumäärän sekä Facebook-mainosten hallinnasta otetut tilin laskutus- ja maksutiedot. Instagramissa uhka avaa tilin muokkaussivun, josta näet käyttäjän sähköpostiosoitteen, puhelinnumeron, käyttäjätunnuksen, salasanan ja muut luottamukselliset tiedot.

On huomattava, että FFDroidilla on mahdollisuus ladata ja ottaa käyttöön muita vioittuneita moduuleja tartunnan saaneissa järjestelmissä. Näin hyökkääjät voivat suorittaa useita muita invasiivisia toimintoja heidän erityistavoitteistaan riippuen.