FFDroider Malware

Złośliwe oprogramowanie FFDroider zostało sklasyfikowane jako złodziej informacji. To konkretne złośliwe oprogramowanie ma skupiać się na kontach ofiary w mediach społecznościowych i wydobywać z nich jak najwięcej informacji. Szczegóły techniczne dotyczące zagrożenia zostały ujawnione w raporcie przez badaczy, którzy przeanalizowali kilka próbek zagrożenia.

Łańcuch infekcji

Podobnie jak wiele zagrożeń złośliwym oprogramowaniem, FFDroider rozprzestrzenia się również za pośrednictwem zainfekowanych gier wideo i łamania oprogramowania, bezpłatnych aplikacji i gier lub innych popularnych plików pobranych z podejrzanych witryn z torrentami. FFDroider zostanie wdrożony na urządzeniach użytkownika wraz z pobranymi elementami. Aby uniknąć wzbudzania podejrzeń i wykrycia, zagrożenie podszywa się pod komputerową wersję klienta Telegrama. Jednym z pierwszych działań podjętych przez złośliwe oprogramowanie będzie utworzenie nowego klucza rejestru systemu Windows o nazwie „FFDroider”.

Po zainstalowaniu się w systemie złośliwe oprogramowanie zacznie wydobywać dane przechowywane w zainstalowanych przeglądarkach internetowych. Zagrożenie może mieć wpływ na Google Chrome i inne przeglądarki oparte na Chromium, Mozilla Firefox, Microsoft Edge i Internet Explorer. Aby uzyskać dane z pliku cookie Chromium SQLite i przechowywanych danych uwierzytelniających, FFDroider wykorzystuje interfejs API Windows Crypt, a dokładniej funkcję CryptUnProtectData. W przypadku innych docelowych przeglądarek funkcje nadużywające zagrożenia, takie jak InternetGetCookieRxW i IEGet ProtectedMode Cookie.

Odszyfrowane dane dają w wyniku informacje w postaci zwykłego tekstu zawierające dane uwierzytelniające konta ofiary, takie jak nazwy użytkownika i hasła. Wyodrębnione szczegóły są następnie eksportowane do serwera Command-and-Control operacji za pośrednictwem żądania HTTP POST.

Cele grożące

Operatorzy FFDroider nie są zadowoleni z samego uzyskania dostępu do kont ofiary. Nie, FFDroider został zaprojektowany z dodatkowymi możliwościami inwazyjnymi. Rzeczywiście, w ramach swoich działań zagrożenie wykorzystuje uzyskane nazwy użytkownika i hasła do uwierzytelniania i uzyskiwania dostępu do kont użytkowników w mediach społecznościowych i eCommerce na Facebooku, Amazon, eBay, Instagramie, Etsy, Twitterze i portfelu Wax Cloud.

Na przykład FFDroider może otworzyć Facebook ofiary i pobrać wszystkie strony i zakładki na Facebooku, liczbę znajomych oraz informacje o rozliczeniach i płatnościach konta pobrane od menedżera Facebook Ads. Na Instagramie zagrożenie otworzy stronę edycji konta, aby zobaczyć adres e-mail użytkownika, numer telefonu, nazwę użytkownika, hasło i inne poufne dane.

Należy zauważyć, że FFDroid posiada możliwość pobierania i wdrażania dodatkowych uszkodzonych modułów na zainfekowanych systemach. Może to umożliwić atakującym wykonanie różnych innych inwazyjnych działań w zależności od ich konkretnych celów.