FFDroider kenkėjiška programa
FFDroider kenkėjiška programa buvo priskirta informacijos vagystės kategorijai. Ši konkreti kenkėjiškų programų dalis skirta sutelkti dėmesį į aukos socialinių tinklų paskyras ir iš jų išgauti kuo daugiau informacijos. Techninė informacija apie grėsmę buvo paskelbta tyrėjų, išanalizavusių kelis grėsmės pavyzdžius, ataskaitoje.
Infekcijos grandinė
Kaip ir daugelis kenkėjiškų programų grėsmių, FFDroider taip pat plinta per pažeistus vaizdo žaidimus ir programinės įrangos įtrūkimus, nemokamas programas ir žaidimus arba kitus populiarius failus, atsisiųstus iš šešėlinių torrent svetainių. FFDroider bus įdiegtas vartotojo įrenginiuose kartu su atsisiųstais elementais. Kad nesukeltų įtarimų ir nebūtų aptikta, grėsmė bus užmaskuota kaip „Telegram“ kliento darbalaukio versija. Vienas iš pirmųjų veiksmų, kurių imasi kenkėjiška programa, bus sukurti naują „Windows“ registro raktą, pavadintą „FFDroider“.
Sistemoje įdiegta kenkėjiška programa pradės išgauti duomenis, saugomus įdiegtose žiniatinklio naršyklėse. „Google Chrome“ ir kitos „Chromium“ pagrįstos naršyklės, „Mozilla Firefox“, „Microsoft Edge“ ir „Internet Explorer“ gali būti paveiktos grėsmės. Kad gautų duomenis iš „Chromium SQLite“ slapuko ir saugomų kredencialų, „FFDroider“ naudoja „Windows Crypt“ API ir, konkrečiau, funkciją „CryptUnProtectData“. Kitose tikslinėse naršyklėse grėsmė piktnaudžiauja funkcijomis, tokiomis kaip InternetGetCookieRxW ir IEGet ProtectedMode Cookie.
Dėl iššifruotų duomenų gaunama aiškaus teksto informacija, kurioje yra aukos paskyros kredencialai, pvz., vartotojo vardai ir slaptažodžiai. Tada išgauta informacija per HTTP POST užklausą išfiltruojama į operacijos komandų ir valdymo serverį.
Grėsmingi tikslai
„FFDroider“ operatoriai nepatenkinti vien tik prieiga prie aukos paskyrų. Ne, FFDroider sukurtas su papildomomis invazinėmis galimybėmis. Iš tiesų, vykdydama savo veiksmus, grėsmė naudoja gautus vartotojo vardus ir slaptažodžius, kad patvirtintų ir pasiektų vartotojo socialinės žiniasklaidos ir el. prekybos paskyras „Facebook“, „Amazon“, „eBay“, „Instagram“, „Etsy“, „Twitter“ ir „Wax Cloud“ piniginėje.
Pavyzdžiui, „FFDroider“ gali atidaryti aukos „Facebook“ ir gauti visus „Facebook“ puslapius bei žymes, draugų skaičių ir paskyros atsiskaitymo bei mokėjimo informaciją, paimtą iš „Facebook“ skelbimų tvarkyklės. „Instagram“ tinkle grėsmė atidarys paskyros redagavimo puslapį, kad pamatytumėte vartotojo el. pašto adresą, telefono numerį, vartotojo vardą, slaptažodį ir kitą konfidencialią informaciją.
Reikėtų pažymėti, kad FFDroid turi galimybę atsisiųsti ir įdiegti papildomus sugadintus modulius užkrėstose sistemose. Tai gali leisti užpuolikams atlikti įvairius kitus invazinius veiksmus, atsižvelgiant į jų konkrečius tikslus.
