Malware FFDroider

Malware FFDroider Përshkrimi

Malware FFDroider është kategorizuar si një vjedhës informacioni. Kjo pjesë e veçantë e malware është krijuar për t'u fokusuar në llogaritë e mediave sociale të viktimës dhe për të nxjerrë sa më shumë informacion prej tyre. Detajet teknike rreth kërcënimit u publikuan në një raport nga studiuesit që analizuan disa mostra të kërcënimit.

Zinxhiri i Infeksionit

Ashtu si shumë kërcënime malware, FFDroider gjithashtu po përhapet përmes lojërave video të komprometuara dhe çarjeve të softuerit, aplikacioneve dhe lojërave falas, ose skedarëve të tjerë të njohur të shkarkuar nga faqet e internetit të torrenteve me hije. FFDroider do të vendoset në pajisjet e përdoruesit së bashku me artikujt e shkarkuar. Për të shmangur ngritjen e dyshimeve dhe zbulimin, kërcënimi do të maskohet si versioni desktop i klientit të Telegram. Një nga veprimet e para të ndërmarra nga malware do të jetë krijimi i një çelësi të ri të regjistrit të Windows të quajtur 'FFDroider'.

Pasi të vendoset në sistem, malware do të fillojë nxjerrjen e të dhënave të ruajtura në shfletuesit e instaluar të uebit. Google Chrome dhe shfletues të tjerë të bazuar në Chromium, Mozilla Firefox, Microsoft Edge dhe Internet Explorer mund të preken të gjithë nga kërcënimi. Për të marrë të dhënat nga cookie Chromium SQLite dhe kredencialet e ruajtura, FFDroider përdor Windows Crypt API dhe më konkretisht, funksionin CryptUnProtectData. Për shfletuesit e tjerë të synuar, kërcënimi abuzon funksionet, të tilla si InternetGetCookieRxW dhe IEGet ProtectedMode Cookie.

Të dhënat e deshifruara rezultojnë në informacione teksti të qarta që përmbajnë kredencialet e llogarisë së viktimës, si emrat e përdoruesve dhe fjalëkalimet. Detajet e nxjerra më pas eksfiltohen në serverin Command-and-Control të operacionit nëpërmjet një kërkese HTTP POST.

Qëllime kërcënuese

Operatorët e FFDroider nuk janë të kënaqur vetëm me marrjen e aksesit në llogaritë e viktimës. Jo, FFDroider është projektuar me aftësi shtesë pushtuese. Në të vërtetë, si pjesë e veprimeve të tij, kërcënimi përdor emrat e përdoruesve dhe fjalëkalimet e marra për të vërtetuar dhe për të hyrë në rrjetet sociale të përdoruesit dhe llogaritë e tregtisë elektronike në Facebook, Amazon, eBay, Instagram, Etsy, Twitter dhe portofolin Wax Cloud.

Për shembull, FFDroider mund të hapë Facebook-un e viktimës dhe të marrë të gjitha faqet dhe faqerojtësit në Facebook, numrin e miqve dhe informacionin e faturimit dhe pagesës së llogarisë të marrë nga menaxheri i Facebook Ads. Në Instagram, kërcënimi do të hapë faqen e redaktimit të llogarisë për të parë adresën e emailit të përdoruesit, numrin e telefonit, emrin e përdoruesit, fjalëkalimin dhe detaje të tjera konfidenciale.

Duhet të theksohet se FFDroid posedon aftësinë për të shkarkuar dhe vendosur module shtesë të korruptuara në sistemet e infektuara. Të bësh këtë mund t'i lejojë sulmuesit të kryejnë veprime të tjera pushtuese në varësi të qëllimeve të tyre specifike.