FFDroider Malware

FFDroider 恶意软件已被归类为信息窃取程序。这种特殊的恶意软件旨在关注受害者的社交媒体帐户并从中提取尽可能多的信息。研究人员在分析了几个威胁样本的报告中公布了有关威胁的技术细节。

感染链

与许多恶意软件威胁一样，FFDroider 也通过受感染的视频游戏和软件破解、免费应用程序和游戏或从阴暗的 torrent 网站下载的其他流行文件传播。 FFDroider 将与下载的项目一起部署在用户的设备上。为了避免引起怀疑和被检测到，该威胁会将自己伪装成 Telegram 客户端的桌面版本。恶意软件首先采取的行动之一是创建一个名为“FFDroider”的新 Windows 注册表项。

一旦在系统上建立，恶意软件将开始提取存储在已安装 Web 浏览器中的数据。 Google Chrome 和其他基于 Chromium 的浏览器、Mozilla Firefox、Microsoft Edge 和 Internet Explorer 都可能受到威胁的影响。为了从 Chromium SQLite cookie 和存储的凭据中获取数据，FFDroider 使用了 Windows Crypt API，更具体地说，是 CryptUnProtectData 函数。对于其他目标浏览器，威胁滥用 InternetGetCookieRxW 和 IEGet ProtectedMode Cookie 等功能。

解密后的数据会生成包含受害者帐户凭据的明文信息，例如用户名和密码。然后通过 HTTP POST 请求将提取的详细信息泄露到操作的命令和控制服务器。

威胁目标

FFDroider 的运营商并不满足于仅仅访问受害者的账户。不，FFDroider 设计有额外的侵入性功能。事实上，作为其行动的一部分，该威胁使用获得的用户名和密码来验证和访问用户在 Facebook、亚马逊、eBay、Instagram、Etsy、Twitter 和 Wax Cloud 钱包上的社交媒体和电子商务账户。

例如，FFDroider 可以打开受害者的 Facebook 并从 Facebook 广告管理器获取所有 Facebook 页面和书签、朋友数量以及帐户的账单和付款信息。在 Instagram 上，威胁者会打开账户编辑页面，查看用户的电子邮件地址、电话号码、用户名、密码和其他机密信息。

应该注意的是，FFDroid 具有在受感染系统上下载和部署其他损坏模块的能力。这样做可以让攻击者根据他们的特定目标执行各种其他侵入性操作。