FFDroider Malware

Il malware FFDroider è stato classificato come un infostealer. Questo particolare malware è progettato per concentrarsi sugli account dei social media della vittima ed estrarre da essi quante più informazioni possibili. I dettagli tecnici sulla minaccia sono stati rilasciati in un rapporto dai ricercatori che hanno analizzato diversi campioni della minaccia.

La catena delle infezioni

Come molte minacce malware, anche FFDroider viene diffuso tramite videogiochi compromessi e crack software, applicazioni e giochi gratuiti o altri file popolari scaricati da siti Web torrent ombrosi. FFDroider verrà distribuito sui dispositivi dell'utente insieme agli elementi scaricati. Per evitare di sollevare sospetti e di essere rilevata, la minaccia si camufferà da versione desktop del client Telegram. Una delle prime azioni intraprese dal malware sarà la creazione di una nuova chiave del registro di Windows denominata "FFDroider".

Una volta stabilito nel sistema, il malware inizierà a estrarre i dati archiviati nei browser Web installati. Google Chrome e altri browser basati su Chromium, Mozilla Firefox, Microsoft Edge e Internet Explorer possono essere tutti interessati dalla minaccia. Per ottenere i dati dal cookie Chromium SQLite e le credenziali memorizzate, FFDroider utilizza l'API di Windows Crypt e più precisamente la funzione CryptUnProtectData. Per gli altri browser presi di mira, la minaccia abusa delle funzioni, come InternetGetCookieRxW e IEGet ProtectedMode Cookie.

I dati decrittografati generano informazioni in chiaro contenenti le credenziali dell'account della vittima, come nomi utente e password. I dettagli estratti vengono quindi esfiltrati al server Command-and-Control dell'operazione tramite una richiesta HTTP POST.

Obiettivi minacciosi

Gli operatori di FFDroider non si accontentano di accedere semplicemente ai conti della vittima. No, FFDroider è progettato con capacità invasive aggiuntive. Infatti, come parte delle sue azioni, la minaccia utilizza i nomi utente e le password ottenuti per autenticare e accedere ai social media e agli account eCommerce dell'utente su Facebook, Amazon, eBay, Instagram, Etsy, Twitter e il portafoglio Wax Cloud.

Ad esempio, FFDroider può aprire il Facebook della vittima e recuperare tutte le pagine e i segnalibri di Facebook, il numero di amici e le informazioni di fatturazione e pagamento dell'account prelevate dal gestore delle inserzioni di Facebook. Su Instagram, la minaccia aprirà la pagina di modifica dell'account per vedere l'indirizzo e-mail, il numero di telefono, il nome utente, la password e altri dettagli riservati dell'utente.

Va notato che FFDroid possiede la capacità di scaricare e distribuire moduli danneggiati aggiuntivi sui sistemi infetti. Ciò può consentire agli aggressori di eseguire varie altre azioni invasive a seconda dei loro obiettivi specifici.