Threat Database Stealers FFDroider Malware

FFDroider Malware

Die FFDroider Malware wurde als Infostealer kategorisiert. Diese spezielle Malware wurde entwickelt, um sich auf die Social-Media-Konten des Opfers zu konzentrieren und so viele Informationen wie möglich daraus zu extrahieren. Technische Details über die Bedrohung wurden in einem Bericht der Forscher veröffentlicht, die mehrere Proben der Bedrohung analysierten.

Die Infektionskette

Wie viele Malware-Bedrohungen wird FFDroider auch über kompromittierte Videospiele und Software-Cracks, kostenlose Anwendungen und Spiele oder andere beliebte Dateien verbreitet, die von zwielichtigen Torrent-Websites heruntergeladen werden. FFDroider wird zusammen mit den heruntergeladenen Elementen auf den Geräten des Benutzers bereitgestellt. Um keinen Verdacht zu erregen und entdeckt zu werden, tarnt sich die Bedrohung als Desktop-Version des Telegram-Clients. Eine der ersten Aktionen der Malware besteht darin, einen neuen Windows-Registrierungsschlüssel mit dem Namen „FFDroider“ zu erstellen.

Sobald sich die Malware auf dem System etabliert hat, beginnt sie mit dem Extrahieren von Daten, die in den installierten Webbrowsern gespeichert sind. Google Chrome und andere Chromium-basierte Browser, Mozilla Firefox, Microsoft Edge und Internet Explorer können alle von der Bedrohung betroffen sein. Um die Daten aus dem Chromium-SQLite-Cookie und den gespeicherten Anmeldeinformationen zu erhalten, verwendet FFDroider die Windows Crypt-API und genauer gesagt die CryptUnProtectData-Funktion. Bei den anderen Zielbrowsern missbraucht die Bedrohung Funktionen wie InternetGetCookieRxW und IEGet ProtectedMode Cookie.

Die entschlüsselten Daten führen zu Klartextinformationen, die die Zugangsdaten des Opfers wie Benutzernamen und Passwörter enthalten. Die extrahierten Details werden dann über eine HTTP-POST-Anforderung an den Command-and-Control-Server der Operation exfiltriert.

Bedrohliche Ziele

Die Betreiber von FFDroider begnügen sich nicht damit, sich Zugang zu den Konten der Opfer zu verschaffen. Nein, FFDroider wurde mit zusätzlichen invasiven Fähigkeiten entwickelt. Tatsächlich verwendet die Bedrohung im Rahmen ihrer Aktionen die erhaltenen Benutzernamen und Passwörter, um die Social-Media- und E-Commerce-Konten des Benutzers auf Facebook, Amazon, eBay, Instagram, Etsy, Twitter und der Wax Cloud-Wallet zu authentifizieren und darauf zuzugreifen.

Beispielsweise kann FFDroider das Facebook des Opfers öffnen und alle Facebook-Seiten und Lesezeichen, die Anzahl der Freunde sowie die Rechnungs- und Zahlungsinformationen des Kontos aus dem Facebook-Anzeigenmanager abrufen. Auf Instagram öffnet die Bedrohung die Seite zum Bearbeiten des Kontos, um die E-Mail-Adresse, Telefonnummer, den Benutzernamen, das Passwort und andere vertrauliche Details des Benutzers anzuzeigen.

Es sollte beachtet werden, dass FFDroid die Fähigkeit besitzt, zusätzliche beschädigte Module herunterzuladen und auf den infizierten Systemen bereitzustellen. Dies kann es den Angreifern ermöglichen, je nach ihren spezifischen Zielen verschiedene andere invasive Aktionen durchzuführen.

Im Trend

Am häufigsten gesehen

Wird geladen...