Вредоносное ПО FFDroider

Вредоносное ПО FFDroider классифицируется как средство для кражи информации. Эта конкретная вредоносная программа предназначена для сосредоточения внимания на учетных записях жертвы в социальных сетях и извлечения из них как можно большего количества информации. Технические подробности об угрозе были опубликованы в отчете исследователей, которые проанализировали несколько образцов угрозы.

Цепочка заражения

Как и многие вредоносные программы, FFDroider также распространяется через скомпрометированные видеоигры и взломанные программы, бесплатные приложения и игры или другие популярные файлы, загруженные с сомнительных торрент-сайтов. FFDroider будет развернут на устройствах пользователя вместе с загруженными элементами. Чтобы не вызывать подозрений и не быть обнаруженной, угроза будет маскироваться под настольную версию клиента Telegram. Одним из первых действий вредоносной программы будет создание нового ключа реестра Windows с именем «FFDroider».

После установки в системе вредоносное ПО начнет извлекать данные, хранящиеся в установленных веб-браузерах. Угроза может затронуть Google Chrome и другие браузеры на основе Chromium, Mozilla Firefox, Microsoft Edge и Internet Explorer. Чтобы получить данные из файла cookie Chromium SQLite и сохраненные учетные данные, FFDroider использует API-интерфейс Windows Crypt и, в частности, функцию CryptUnProtectData. Для других целевых браузеров угроза злоупотребляет такими функциями, как InternetGetCookieRxW и IEGet ProtectedMode Cookie.

Расшифрованные данные представляют собой информацию в открытом виде, содержащую учетные данные жертвы, такие как имена пользователей и пароли. Затем извлеченные данные передаются на командно-контрольный сервер операции с помощью HTTP-запроса POST.

Угрожающие голы

Операторам FFDroider недостаточно просто получить доступ к учетным записям жертв. Нет, FFDroider разработан с дополнительными инвазивными возможностями. Действительно, в рамках своих действий угроза использует полученные имена пользователей и пароли для аутентификации и доступа к учетным записям пользователей в социальных сетях и электронной коммерции на Facebook, Amazon, eBay, Instagram, Etsy, Twitter и кошельку Wax Cloud.

Например, FFDroider может открыть Facebook жертвы и получить все страницы Facebook и закладки, количество друзей, а также платежную и платежную информацию учетной записи, полученную от менеджера Facebook Ads. В Instagram угроза откроет страницу редактирования учетной записи, чтобы увидеть адрес электронной почты пользователя, номер телефона, имя пользователя, пароль и другие конфиденциальные данные.

Следует отметить, что FFDroid обладает возможностью загрузки и развертывания дополнительных поврежденных модулей на зараженных системах. Это может позволить злоумышленникам выполнять различные другие агрессивные действия в зависимости от их конкретных целей.