FFDroider Malware

De FFDroider Malware is gecategoriseerd als een infostealer. Dit specifieke stukje malware is ontworpen om zich te concentreren op de sociale media-accounts van het slachtoffer en er zoveel mogelijk informatie uit te halen. Technische details over de dreiging zijn vrijgegeven in een rapport van de onderzoekers die verschillende voorbeelden van de dreiging hebben geanalyseerd.

De infectieketen

Zoals veel malwarebedreigingen, wordt FFDroider ook verspreid via gecompromitteerde videogames en softwarecracks, gratis applicaties en games, of andere populaire bestanden die zijn gedownload van duistere torrent-websites. FFDroider wordt naast de gedownloade items op de apparaten van de gebruiker geïmplementeerd. Om te voorkomen dat er verdenkingen ontstaan en ontdekt worden, zal de dreiging zich vermommen als de desktopversie van de Telegram-client. Een van de eerste acties die door de malware worden ondernomen, is het maken van een nieuwe Windows-registersleutel met de naam 'FFDroider'.

Zodra het op het systeem is geïnstalleerd, begint de malware met het extraheren van gegevens die zijn opgeslagen in de geïnstalleerde webbrowsers. Google Chrome en andere op Chromium gebaseerde browsers, Mozilla Firefox, Microsoft Edge en Internet Explorer kunnen allemaal worden beïnvloed door de dreiging. Om de gegevens van de Chromium SQLite-cookie en de opgeslagen referenties te verkrijgen, gebruikt FFDroider de Windows Crypt API en meer specifiek de CryptUnProtectData-functie. Voor de andere gerichte browsers maakt de dreiging misbruik van functies, zoals InternetGetCookieRxW en IEGet ProtectedMode Cookie.

De gedecodeerde gegevens resulteren in duidelijke tekstinformatie met de accountgegevens van het slachtoffer, zoals gebruikersnamen en wachtwoorden. De geëxtraheerde details worden vervolgens geëxfiltreerd naar de Command-and-Control-server van de operatie via een HTTP POST-verzoek.

Dreigende doelen

De operators van FFDroider nemen geen genoegen met alleen toegang te krijgen tot de accounts van het slachtoffer. Nee, FFDroider is ontworpen met extra invasieve mogelijkheden. Als onderdeel van zijn acties gebruikt de dreiging de verkregen gebruikersnamen en wachtwoorden om te authenticeren en toegang te krijgen tot de sociale media en eCommerce-accounts van de gebruiker op Facebook, Amazon, eBay, Instagram, Etsy, Twitter en de Wax Cloud-portemonnee.

FFDroider kan bijvoorbeeld de Facebook van het slachtoffer openen en alle Facebook-pagina's en bladwijzers, het aantal vrienden en de facturerings- en betalingsgegevens van het account ophalen uit de Facebook Ads-manager. Op Instagram opent de dreiging de accountbewerkingspagina om het e-mailadres, telefoonnummer, gebruikersnaam, wachtwoord en andere vertrouwelijke details van de gebruiker te zien.

Opgemerkt moet worden dat FFDroid de mogelijkheid heeft om aanvullende beschadigde modules te downloaden en te implementeren op de geïnfecteerde systemen. Hierdoor kunnen de aanvallers verschillende andere invasieve acties uitvoeren, afhankelijk van hun specifieke doelen.