FFDroider Malware

FFDroider Malware har kategoriserats som en infostealer. Denna speciella del av skadlig programvara är utformad för att fokusera på offrets sociala mediekonton och extrahera så mycket information från dem som möjligt. Tekniska detaljer om hotet släpptes i en rapport från forskarna som analyserade flera prover av hotet.

Infektionskedjan

Liksom många skadliga hot sprids FFDroider också via komprometterade videospel och programsprickor, gratis applikationer och spel eller andra populära filer som laddas ner från skumma torrentwebbplatser. FFDroider kommer att distribueras på användarens enheter tillsammans med de nedladdade objekten. För att undvika att väcka misstankar och upptäckas kommer hotet att maskera sig som skrivbordsversionen av Telegram-klienten. En av de första åtgärderna som skadlig programvara tar kommer att vara att skapa en ny Windows-registernyckel som heter 'FFDroider'.

När den väl har etablerats på systemet kommer skadlig programvara att börja extrahera data som lagras i de installerade webbläsarna. Google Chrome och andra Chromium-baserade webbläsare, Mozilla Firefox, Microsoft Edge och Internet Explorer kan alla påverkas av hotet. För att hämta data från Chromium SQLite-cookien och de lagrade referenserna använder FFDroider Windows Crypt API och mer specifikt CryptUnProtectData-funktionen. För de andra riktade webbläsarna, missbrukar hotet funktioner, såsom InternetGetCookieRxW och IEGet ProtectedMode Cookie.

Den dekrypterade informationen resulterar i klartextinformation som innehåller offrets kontouppgifter, såsom användarnamn och lösenord. De extraherade detaljerna exfiltreras sedan till kommando-och-kontroll-servern för operationen via en HTTP POST-begäran.

Hotande mål

Operatörerna av FFDroider är inte nöjda med att bara få tillgång till offrets konton. Nej, FFDroider är designad med ytterligare invasiva funktioner. Som en del av sina handlingar använder hotet faktiskt de erhållna användarnamnen och lösenorden för att autentisera och komma åt användarens sociala medier och e-handelskonton på Facebook, Amazon, eBay, Instagram, Etsy, Twitter och Wax Cloud-plånboken.

Till exempel kan FFDroider öppna offrets Facebook och hämta alla Facebook-sidor och bokmärken, antalet vänner och kontots fakturerings- och betalningsinformation hämtad från Facebook Ads Manager. På Instagram kommer hotet att öppna kontoredigeringssidan för att se användarens e-postadress, telefonnummer, användarnamn, lösenord och andra konfidentiella detaljer.

Det bör noteras att FFDroid har förmågan att ladda ner och distribuera ytterligare korrupta moduler på de infekterade systemen. Om du gör det kan angriparna utföra olika andra invasiva åtgärder beroende på deras specifika mål.