Шкідливе програмне забезпечення FFDroider
Шкідливе програмне забезпечення FFDroider було віднесено до категорії зловмисників інформації. Ця конкретна частина шкідливого програмного забезпечення розроблена для того, щоб зосередитися на облікових записах жертви в соціальних мережах і отримати з них якомога більше інформації. Технічні деталі загрози були опубліковані у звіті дослідників, які проаналізували кілька зразків загрози.
Інфекційний ланцюг
Як і багато шкідливих програм, FFDroider також поширюється через скомпрометовані відеоігри та програмне забезпечення, безкоштовні програми та ігри або інші популярні файли, завантажені з темних торрент-сайтів. FFDroider буде розгорнуто на пристроях користувача разом із завантаженими елементами. Щоб не викликати підозр і не бути виявленим, загроза маскується під настільну версію клієнта Telegram. Однією з перших дій зловмисного програмного забезпечення буде створення нового ключа реєстру Windows під назвою "FFDroider".
Після встановлення в системі зловмисне програмне забезпечення почне витягувати дані, що зберігаються у встановлених веб-браузерах. Google Chrome та інші браузери на базі Chromium, Mozilla Firefox, Microsoft Edge та Internet Explorer можуть постраждати від загрози. Щоб отримати дані з файлу cookie Chromium SQLite та збережених облікових даних, FFDroider використовує Windows Crypt API і, точніше, функцію CryptUnProtectData. Для інших цільових браузерів загроза зловживає функціями, такими як InternetGetCookieRxW і IEGet ProtectedMode Cookie.
Результатом розшифрованих даних є відкрита текстова інформація, що містить облікові дані жертви, такі як імена користувачів та паролі. Видобуті деталі потім ексфільтруються на сервер командування та керування операцією за допомогою HTTP-запиту POST.
Загрозливі цілі
Оператори FFDroider не задоволені лише отриманням доступу до акаунтів жертви. Ні, FFDroider розроблено з додатковими інвазивними можливостями. Дійсно, в рамках своїх дій загроза використовує отримані імена користувачів і паролі для автентифікації та доступу до соціальних мереж та облікових записів користувача електронної комерції на Facebook, Amazon, eBay, Instagram, Etsy, Twitter і гаманці Wax Cloud.
Наприклад, FFDroider може відкрити Facebook жертви та отримати всі сторінки та закладки Facebook, кількість друзів, а також інформацію про рахунки та платежі облікового запису, взяту з менеджера оголошень Facebook. В Instagram загроза відкриє сторінку редагування облікового запису, щоб побачити адресу електронної пошти, номер телефону, ім’я користувача, пароль та інші конфіденційні дані.
Слід зазначити, що FFDroid має можливість завантажувати та розгортати додаткові пошкоджені модулі на заражених системах. Це може дозволити зловмисникам виконувати різні інші інвазивні дії залежно від їхніх конкретних цілей.
