Zlonamerna programska oprema FFDroider

Zlonamerna programska oprema FFDroider Opis

Zlonamerna programska oprema FFDroider je bila kategorizirana kot kradljiva informacija. Ta poseben del zlonamerne programske opreme je zasnovan tako, da se osredotoči na račune žrtev v družbenih medijih in iz njih izvleče čim več informacij. Tehnične podrobnosti o grožnji so objavili v poročilu raziskovalcev, ki so analizirali več vzorcev grožnje.

Infekcijska veriga

Kot številne grožnje z zlonamerno programsko opremo se tudi FFDroider širi prek ogroženih video iger in razpok v programski opremi, brezplačnih aplikacij in iger ali drugih priljubljenih datotek, prenesenih s senčnih spletnih mest torrentov. FFDroider bo nameščen na uporabnikovih napravah poleg prenesenih elementov. Da bi se izognili sumom in odkritju, se bo grožnja prikrila kot namizna različica odjemalca Telegram. Eno prvih dejanj zlonamerne programske opreme bo ustvarjanje novega ključa registra Windows z imenom »FFDroider«.

Ko se zlonamerna programska oprema vzpostavi v sistemu, bo začela ekstrahirati podatke, shranjene v nameščenih spletnih brskalnikih. Grožnja lahko prizadene Google Chrome in druge brskalnike, ki temeljijo na Chromiumu, Mozilla Firefox, Microsoft Edge in Internet Explorer. Za pridobitev podatkov iz piškotka Chromium SQLite in shranjenih poverilnic FFDroider uporablja Windows Crypt API in natančneje funkcijo CryptUnProtectData. Za druge ciljne brskalnike grožnja zlorablja funkcije, kot sta InternetGetCookieRxW in IEGet ProtectedMode Cookie.

Rezultat dešifriranih podatkov je jasno besedilo, ki vsebuje poverilnice žrtvinega računa, kot so uporabniška imena in gesla. Izvlečene podrobnosti se nato ekstrahirajo v strežnik za upravljanje in nadzor operacije prek zahteve HTTP POST.

Nevarni cilji

Upravljavci FFDroiderja niso zadovoljni zgolj s pridobivanjem dostopa do računov žrtve. Ne, FFDroider je zasnovan z dodatnimi invazivnimi zmogljivostmi. Dejansko grožnja v okviru svojih dejanj uporablja pridobljena uporabniška imena in gesla za preverjanje pristnosti in dostop do uporabnikovih računov družbenih medijev in e-trgovine na Facebooku, Amazonu, eBayu, Instagramu, Etsyju, Twitterju in denarnici Wax Cloud.

Na primer, FFDroider lahko odpre žrtvin Facebook in pridobi vse Facebook strani in zaznamke, število prijateljev ter podatke za obračun in plačilo računa, ki jih prevzame upravitelj Facebook Ads. Na Instagramu bo grožnja odprla stran za urejanje računa, da si ogledate uporabnikov e-poštni naslov, telefonsko številko, uporabniško ime, geslo in druge zaupne podrobnosti.

Treba je opozoriti, da ima FFDroid možnost prenosa in uvajanja dodatnih poškodovanih modulov na okužene sisteme. To lahko napadalcem omogoči izvajanje različnih drugih invazivnih dejanj, odvisno od njihovih specifičnih ciljev.