FFDroider Malware

FFDroider Kötü Amaçlı Yazılımı, bilgi hırsızı olarak sınıflandırılmıştır. Bu özel kötü amaçlı yazılım parçası, kurbanın sosyal medya hesaplarına odaklanmak ve onlardan mümkün olduğunca fazla bilgi çıkarmak için tasarlanmıştır. Tehditle ilgili teknik ayrıntılar, tehdidin birkaç örneğini analiz eden araştırmacılar tarafından bir raporda yayınlandı.

Enfeksiyon Zinciri

Birçok kötü amaçlı yazılım tehdidi gibi, FFDroider da güvenliği ihlal edilmiş video oyunları ve yazılım çatlakları, ücretsiz uygulamalar ve oyunlar veya gölgeli torrent web sitelerinden indirilen diğer popüler dosyalar aracılığıyla yayılıyor. FFDroider, indirilen öğelerle birlikte kullanıcının cihazlarına dağıtılacaktır. Şüphe uyandırmaktan ve tespit edilmekten kaçınmak için tehdit, Telegram istemcisinin masaüstü versiyonu olarak kendini gizleyecektir. Kötü amaçlı yazılım tarafından gerçekleştirilen ilk eylemlerden biri, 'FFDroider' adlı yeni bir Windows Kayıt Defteri anahtarı oluşturmak olacaktır.

Sistemde kurulduktan sonra, kötü amaçlı yazılım, kurulu Web tarayıcılarında depolanan verileri çıkarmaya başlayacaktır. Google Chrome ve diğer Chromium tabanlı tarayıcılar, Mozilla Firefox, Microsoft Edge ve Internet Explorer tehditten etkilenebilir. FFDroider, Chromium SQLite tanımlama bilgisinden ve saklanan kimlik bilgilerinden verileri elde etmek için Windows Crypt API'sini ve daha özel olarak CryptUnProtectData işlevini kullanır. Hedeflenen diğer tarayıcılar için tehdit, InternetGetCookieRxW ve IEGet ProtectedMode Cookie gibi işlevleri kötüye kullanır.

Şifresi çözülen veriler, kurbanın kullanıcı adları ve parolalar gibi hesap kimlik bilgilerini içeren açık metin bilgileriyle sonuçlanır. Çıkarılan ayrıntılar daha sonra bir HTTP POST isteği aracılığıyla işlemin Komuta ve Kontrol sunucusuna aktarılır.

Tehdit Eden Hedefler

FFDroider operatörleri sadece kurbanın hesaplarına erişim sağlamakla yetinmiyor. Hayır, FFDroider ek istilacı yeteneklerle tasarlanmıştır. Aslında tehdit, eylemlerinin bir parçası olarak, Facebook, Amazon, eBay, Instagram, Etsy, Twitter ve Wax Cloud cüzdanındaki kullanıcının sosyal medya ve e-ticaret hesaplarının kimliğini doğrulamak ve bunlara erişmek için elde edilen kullanıcı adlarını ve şifreleri kullanır.

Örneğin, FFDroider kurbanın Facebook'unu açabilir ve Facebook Reklamları yöneticisinden alınan tüm Facebook sayfalarını ve yer imlerini, arkadaş sayısını ve hesabın fatura ve ödeme bilgilerini alabilir. Instagram'da tehdit, kullanıcının e-posta adresini, telefon numarasını, kullanıcı adını, şifresini ve diğer gizli ayrıntılarını görmek için hesap düzenleme sayfasını açar.

FFDroid'in, virüslü sistemlerde ek bozuk modülleri indirme ve dağıtma yeteneğine sahip olduğu belirtilmelidir. Bunu yapmak, saldırganların belirli hedeflerine bağlı olarak çeşitli istilacı eylemler gerçekleştirmesine izin verebilir.