FFDroider Malware

FFDroider Malware說明

FFDroider 惡意軟件已被歸類為信息竊取程序。這種特殊的惡意軟件旨在關注受害者的社交媒體帳戶,並從中提取盡可能多的信息。研究人員在分析了幾個威脅樣本的報告中公佈了有關威脅的技術細節。

感染鏈

與許多惡意軟件威脅一樣,FFDroider 也通過受感染的視頻遊戲和軟件破解、免費應用程序和遊戲或從陰暗的 torrent 網站下載的其他流行文件傳播。 FFDroider 將與下載的項目一起部署在用戶的設備上。為避免引起懷疑和被發現,該威脅將偽裝成 Telegram 客戶端的桌面版本。惡意軟件首先採取的行動之一是創建一個名為“FFDroider”的新 Windows 註冊表項。

一旦在系統上建立,惡意軟件將開始提取存儲在已安裝 Web 瀏覽器中的數據。 Google Chrome 和其他基於 Chromium 的瀏覽器、Mozilla Firefox、Microsoft Edge 和 Internet Explorer 都可能受到威脅的影響。為了從 Chromium SQLite cookie 和存儲的憑據中獲取數據,FFDroider 使用了 Windows Crypt API,更具體地說,是 CryptUnProtectData 函數。對於其他目標瀏覽器,威脅濫用 InternetGetCookieRxW 和 IEGet ProtectedMode Cookie 等功能。

解密後的數據會生成包含受害者帳戶憑據的明文信息,例如用戶名和密碼。然後通過 HTTP POST 請求將提取的詳細信息洩露到操作的命令和控制服務器。

威脅目標

FFDroider 的運營商並不滿足於僅僅訪問受害者的賬戶。不,FFDroider 設計有額外的侵入性功能。事實上,作為其行動的一部分,該威脅使用獲得的用戶名和密碼來驗證和訪問用戶在 Facebook、亞馬遜、eBay、Instagram、Etsy、Twitter 和 Wax Cloud 錢包上的社交媒體和電子商務賬戶。

例如,FFDroider 可以打開受害者的 Facebook 並從 Facebook 廣告管理器獲取所有 Facebook 頁面和書籤、朋友數量以及帳戶的賬單和付款信息。在 Instagram 上,威脅者會打開賬戶編輯頁面,查看用戶的電子郵件地址、電話號碼、用戶名、密碼和其他機密信息。

應該注意的是,FFDroid 具有在受感染系統上下載和部署其他損壞模塊的能力。這樣做可以讓攻擊者根據他們的特定目標執行各種其他侵入性操作。