FFDroider skadelig programvare

FFDroider Malware har blitt kategorisert som en infosteler. Denne spesielle delen av skadelig programvare er designet for å fokusere på offerets sosiale mediekontoer og trekke ut så mye informasjon fra dem som mulig. Tekniske detaljer om trusselen ble offentliggjort i en rapport fra forskerne som analyserte flere prøver av trusselen.

Infeksjonskjeden

Som mange andre malware-trusler, spres FFDroider også via kompromitterte videospill og programvare-cracks, gratis applikasjoner og spill, eller andre populære filer lastet ned fra lyssky torrent-nettsteder. FFDroider vil bli distribuert på brukerens enheter sammen med de nedlastede elementene. For å unngå å vekke mistanker og bli oppdaget, vil trusselen forkle seg som skrivebordsversjonen av Telegram-klienten. En av de første handlingene som tas av skadelig programvare vil være å lage en ny Windows-registernøkkel kalt 'FFDroider.'

Når den er etablert på systemet, vil skadelig programvare begynne å trekke ut data som er lagret i de installerte nettleserne. Google Chrome og andre Chromium-baserte nettlesere, Mozilla Firefox, Microsoft Edge og Internet Explorer kan alle bli påvirket av trusselen. For å hente dataene fra Chromium SQLite-informasjonskapselen og den lagrede legitimasjonen, bruker FFDroider Windows Crypt API og mer spesifikt CryptUnProtectData-funksjonen. For de andre målrettede nettleserne misbruker trusselen funksjoner, slik som InternetGetCookieRxW og IEGet ProtectedMode Cookie.

De dekrypterte dataene resulterer i klartekstinformasjon som inneholder offerets kontolegitimasjon, for eksempel brukernavn og passord. De utpakkede detaljene blir deretter eksfiltrert til Command-and-Control-serveren for operasjonen via en HTTP POST-forespørsel.

Truende mål

Operatørene til FFDroider er ikke fornøyd med bare å få tilgang til offerets kontoer. Nei, FFDroider er designet med ekstra invasive muligheter. Faktisk, som en del av sine handlinger, bruker trusselen de innhentede brukernavnene og passordene for å autentisere og få tilgang til brukerens sosiale medier og e-handelskontoer på Facebook, Amazon, eBay, Instagram, Etsy, Twitter og Wax Cloud-lommeboken.

For eksempel kan FFDroider åpne offerets Facebook og hente alle Facebook-sider og bokmerker, antall venner og kontoens fakturerings- og betalingsinformasjon hentet fra Facebook Ads Manager. På Instagram vil trusselen åpne kontoredigeringssiden for å se brukerens e-postadresse, telefonnummer, brukernavn, passord og andre konfidensielle detaljer.

Det skal bemerkes at FFDroid har muligheten til å laste ned og distribuere ytterligere ødelagte moduler på de infiserte systemene. Å gjøre det kan tillate angriperne å utføre forskjellige andre invasive handlinger avhengig av deres spesifikke mål.