FFDroder Malware

O malware FFDroider foi categorizado como um infostealer. Esse malware específico foi projetado para se concentrar nas contas de mídia social da vítima e extrair o máximo de informações possível. Detalhes técnicos sobre a ameaça foram divulgados em um relatório dos pesquisadores que analisaram várias amostras da ameaça.

A Cadeia de Infecção

Como muitas ameaças de malware, o FFDroder também está sendo espalhado por meio de videogames comprometidos e rachaduras de software, aplicativos e jogos gratuitos ou outros arquivos populares baixados de sites de torrent obscuros. O FFDroder será implantado nos dispositivos do usuário junto com os itens baixados. Para evitar levantar suspeitas e ser detectada, a ameaça se disfarçará como a versão desktop do cliente Telegram. Uma das primeiras ações tomadas pelo malware será criar uma nova chave do Registro do Windows chamada 'FFDroider'.

Uma vez estabelecido no sistema, o malware começará a extrair os dados armazenados nos navegadores da Web instalados. O Google Chrome e outros navegadores baseados no Chromium, Mozilla Firefox, Microsoft Edge e Internet Explorer podem ser afetados pela ameaça. Para obter os dados do cookie Chromium SQLite e as credenciais armazenadas, o FFDroder utiliza a API Windows Crypt e, mais especificamente, a função CryptUnProtectData. Para os outros navegadores direcionados, a ameaça abusa de funções, como InternetGetCookieRxW e IEGet ProtectedMode Cookie.

Os dados descriptografados resultam em informações de texto simples contendo as credenciais da conta da vítima, como nomes de usuário e senhas. Os detalhes extraídos são então exfiltrados para o servidor de Comando e Controle da operação por meio de uma solicitação HTTP POST.

Metas Ameaçadoras

Os operadores do FFDroider não se contentam em apenas obter acesso às contas da vítima. Não, o FFDroder foi projetado com recursos invasivos adicionais. De fato, como parte de suas ações, a ameaça usa os nomes de usuário e senhas obtidos para autenticar e acessar as mídias sociais e contas de comércio eletrônico do usuário no Facebook, Amazon, eBay, Instagram, Etsy, Twitter e na carteira Wax Cloud.

Por exemplo, o FFDroder pode abrir o Facebook da vítima e buscar todas as páginas e favoritos do Facebook, o número de amigos e as informações de cobrança e pagamento da conta retiradas do gerenciador de anúncios do Facebook. No Instagram, a ameaça abrirá a página de edição da conta para ver o endereço de e-mail do usuário, número de telefone, nome de usuário, senha e outros detalhes confidenciais.

Deve-se notar que o FFDroid possui a capacidade de baixar e implantar módulos corrompidos adicionais nos sistemas infectados. Fazer isso pode permitir que os invasores executem várias outras ações invasivas, dependendo de seus objetivos específicos.