תוכנה זדונית של FFDroider
תוכנת זדונית FFDroider סווגה כגנבת מידע. תוכנת זדונית מסוימת זו נועדה להתמקד בחשבונות המדיה החברתית של הקורבן ולחלץ מהם מידע רב ככל האפשר. פרטים טכניים על האיום פורסמו בדו"ח של החוקרים שניתחו מספר דוגמאות של האיום.
שרשרת הזיהום
כמו איומים רבים של תוכנות זדוניות, גם FFDroider מופץ באמצעות משחקי וידאו וסדקי תוכנה שנפגעו, אפליקציות חינמיות ומשחקים, או קבצים פופולריים אחרים שהורדו מאתרי טורנט מפוקפקים. FFDroider ייפרס על מכשירי המשתמש לצד הפריטים שהורדו. כדי להימנע מהעלאת חשדות וזיהוי, האיום יתחפש לגרסת שולחן העבודה של לקוח הטלגרם. אחת הפעולות הראשונות שננקטות על ידי התוכנה הזדונית תהיה יצירת מפתח רישום חדש של Windows בשם 'FFDroider'.
לאחר הקמת המערכת, התוכנה הזדונית תתחיל לחלץ נתונים המאוחסנים בדפדפני האינטרנט המותקנים. Google Chrome ודפדפנים אחרים מבוססי Chromium, Mozilla Firefox, Microsoft Edge ו-Internet Explorer יכולים כולם להיות מושפעים מהאיום. כדי להשיג את הנתונים מ-Cookie Chromium SQLite והאישורים המאוחסנים, FFDroider משתמש ב-Windows Crypt API וליתר דיוק, בפונקציית CryptUnProtectData. עבור שאר הדפדפנים הממוקדים, האיום משתמש לרעה בפונקציות, כגון InternetGetCookieRxW ו-IEGet ProtectedMode Cookie.
הנתונים המפוענחים מביאים למידע ברור המכיל את אישורי החשבון של הקורבן, כגון שמות משתמש וסיסמאות. לאחר מכן, הפרטים שחולצו עוברים לשרת הפקודה והבקרה של הפעולה באמצעות בקשת HTTP POST.
מטרות מאיימות
המפעילים של FFDroider אינם מסתפקים רק בהשגת גישה לחשבונות של הקורבן. לא, FFDroider תוכנן עם יכולות פולשניות נוספות. ואכן, כחלק מפעולותיו, האיום משתמש בשמות המשתמש והסיסמאות שהושגו כדי לאמת ולגשת לחשבונות המדיה החברתית וחשבונות המסחר האלקטרוני של המשתמש בפייסבוק, אמזון, איביי, אינסטגרם, אטסי, טוויטר וארנק Wax Cloud.
לדוגמה, FFDroider יכול לפתוח את הפייסבוק של הקורבן ולהביא את כל דפי הפייסבוק והסימניות, את מספר החברים ואת פרטי החיוב והתשלום של החשבון שנלקחו ממנהל המודעות של פייסבוק. באינסטגרם, האיום יפתח את דף עריכת החשבון כדי לראות את כתובת הדואר האלקטרוני של המשתמש, מספר הטלפון, שם המשתמש, הסיסמה ופרטים סודיים נוספים.
יש לציין כי ל-FFDroid יש את היכולת להוריד ולפרוס מודולים פגומים נוספים במערכות הנגועות. פעולה זו יכולה לאפשר לתוקפים לבצע פעולות פולשניות שונות בהתאם למטרות הספציפיות שלהם.
