FFDroider Malware

FFDroider Malware a fost clasificat ca un infostealer. Acest program malware este conceput pentru a se concentra pe conturile de social media ale victimei și pentru a extrage cât mai multe informații din acestea. Detaliile tehnice despre amenințare au fost făcute publice într-un raport de către cercetătorii care au analizat mai multe mostre ale amenințării.

Lanțul de infecție

La fel ca multe amenințări malware, FFDroider este răspândit și prin jocuri video compromise și crackuri software, aplicații gratuite și jocuri sau alte fișiere populare descărcate de pe site-uri web de torrent umbrite. FFDroider va fi implementat pe dispozitivele utilizatorului alături de articolele descărcate. Pentru a evita ridicarea suspiciunilor și detectarea, amenințarea se va deghiza în versiunea desktop a clientului Telegram. Una dintre primele acțiuni întreprinse de malware va fi crearea unei noi chei de registru Windows numită „FFDroider”.

Odată stabilit în sistem, malware-ul va începe să extragă datele stocate în browserele Web instalate. Google Chrome și alte browsere bazate pe Chromium, Mozilla Firefox, Microsoft Edge și Internet Explorer pot fi toate afectate de amenințare. Pentru a obține datele din cookie-ul Chromium SQLite și acreditările stocate, FFDroider utilizează API-ul Windows Crypt și, mai precis, funcția CryptUnProtectData. Pentru celelalte browsere vizate, amenințarea abuzează funcții, cum ar fi InternetGetCookieRxW și IEGet ProtectedMode Cookie.

Datele decriptate au ca rezultat informații în text clar care conțin acreditările contului victimei, cum ar fi numele de utilizator și parolele. Detaliile extrase sunt apoi exfiltrate către serverul de comandă și control al operațiunii printr-o solicitare HTTP POST.

Goluri amenințătoare

Operatorii FFDroider nu sunt mulțumiți doar să obțină acces la conturile victimei. Nu, FFDroider este proiectat cu capacități invazive suplimentare. Într-adevăr, ca parte a acțiunilor sale, amenințarea folosește numele de utilizator și parolele obținute pentru a autentifica și accesa rețelele sociale ale utilizatorului și conturile de comerț electronic pe Facebook, Amazon, eBay, Instagram, Etsy, Twitter și portofelul Wax Cloud.

De exemplu, FFDroider poate deschide Facebook-ul victimei și poate prelua toate paginile și marcajele Facebook, numărul de prieteni și informațiile de facturare și plată ale contului preluate de la managerul de reclame Facebook. Pe Instagram, amenințarea va deschide pagina de editare a contului pentru a vedea adresa de e-mail, numărul de telefon, numele de utilizator, parola și alte detalii confidențiale ale utilizatorului.

Trebuie remarcat faptul că FFDroid are capacitatea de a descărca și implementa module suplimentare corupte pe sistemele infectate. Acest lucru poate permite atacatorilor să efectueze diverse alte acțiuni invazive, în funcție de obiectivele lor specifice.