FFDroider Malware

Az FFDroider Malware információlopó kategóriába került. Ez a rosszindulatú program úgy készült, hogy az áldozat közösségi média fiókjaira összpontosítson, és a lehető legtöbb információt kinyerje belőlük. A fenyegetéssel kapcsolatos technikai részleteket a kutatók jelentésében hozták nyilvánosságra, akik a fenyegetés több mintáját elemezték.

A fertőzési lánc

Sok rosszindulatú fenyegetéshez hasonlóan az FFDroider is feltört videojátékokon és szoftvertöréseken, ingyenes alkalmazásokon és játékokon, vagy más népszerű fájlokon keresztül terjed, amelyeket árnyékos torrentoldalakról töltenek le. Az FFDroider a letöltött elemek mellett a felhasználó eszközein is telepítve lesz. A gyanú és az észlelés elkerülése érdekében a fenyegetés a Telegram kliens asztali verziójának álcázza magát. A rosszindulatú program egyik első lépése egy új, „FFDroider” nevű Windows rendszerleíró kulcs létrehozása lesz.

A rendszerben való megjelenést követően a rosszindulatú program megkezdi a telepített webböngészőkben tárolt adatok kinyerését. A fenyegetés érintheti a Google Chrome-ot és más Chromium-alapú böngészőket, a Mozilla Firefoxot, a Microsoft Edge-t és az Internet Explorert. A Chromium SQLite cookie-ból származó adatok és a tárolt hitelesítő adatok beszerzéséhez az FFDroider a Windows Crypt API-t, pontosabban a CryptUnProtectData funkciót használja. A többi megcélzott böngésző esetében a fenyegetés visszaél olyan funkciókkal, mint az InternetGetCookieRxW és az IEGet ProtectedMode Cookie.

A visszafejtett adatok egyértelmű szöveges információkat eredményeznek, amelyek tartalmazzák az áldozat hitelesítő adatait, például felhasználóneveket és jelszavakat. A kibontott részletek ezután egy HTTP POST-kéréssel kiszűrésre kerülnek a művelet Command-and-Control szerverére.

Fenyegető gólok

Az FFDroider üzemeltetői nem elégednek meg azzal, hogy csupán hozzáférést kapnak az áldozat fiókjaihoz. Nem, az FFDroidert további invazív képességekkel tervezték. Valójában a fenyegetés a megszerzett felhasználóneveket és jelszavakat használja fel a Facebookon, Amazonon, eBay-en, Instagramon, Etsy-n, Twitteren és a Wax Cloud pénztárcán található közösségi média és e-kereskedelmi fiókok hitelesítésére és elérésére.

Például az FFDroider megnyithatja az áldozat Facebookját, és lekérheti az összes Facebook-oldalt és könyvjelzőket, a barátok számát, valamint a fiók számlázási és fizetési adatait, amelyeket a Facebook Ads kezelőtől vett át. Az Instagramon a fenyegetés megnyitja a fiók szerkesztő oldalát, ahol láthatja a felhasználó e-mail címét, telefonszámát, felhasználónevét, jelszavát és egyéb bizalmas adatokat.

Meg kell jegyezni, hogy az FFDroid képes további sérült modulok letöltésére és telepítésére a fertőzött rendszereken. Ez lehetővé teszi a támadók számára, hogy különféle egyéb invazív műveleteket hajtsanak végre, konkrét céljaiktól függően.