FFDroider Malware
FFDroiderマルウェアは、インフォスティーラーとして分類されています。この特定のマルウェアは、被害者のソーシャルメディアアカウントに焦点を当て、それらから可能な限り多くの情報を抽出するように設計されています。脅威に関する技術的な詳細は、脅威のいくつかのサンプルを分析した研究者によるレポートで発表されました。
感染チェーン
多くのマルウェアの脅威と同様に、FFDroiderも、侵害されたビデオゲームやソフトウェアのクラック、無料のアプリケーション、ゲーム、または怪しげなトレントWebサイトからダウンロードされたその他の人気のあるファイルを介して拡散しています。 FFDroiderは、ダウンロードされたアイテムと一緒にユーザーのデバイスに展開されます。疑惑を提起して検出されないようにするために、脅威はTelegramクライアントのデスクトップバージョンになりすます。マルウェアが最初に実行するアクションの1つは、「FFDroider」という名前の新しいWindowsレジストリキーを作成することです。
システム上で確立されると、マルウェアはインストールされたWebブラウザに保存されているデータの抽出を開始します。 Google Chromeやその他のChromiumベースのブラウザ、Mozilla Firefox、Microsoft Edge、InternetExplorerはすべてこの脅威の影響を受ける可能性があります。 Chromium SQLite Cookieと保存されたクレデンシャルからデータを取得するために、FFDroiderはWindows Crypt API、より具体的にはCryptUnProtectData関数を利用します。他の標的型ブラウザの場合、脅威はInternetGetCookieRxWやIEGetProtectedModeCookieなどの機能を悪用します。
復号化されたデータは、ユーザー名やパスワードなど、被害者のアカウントの資格情報を含むクリアテキスト情報になります。抽出された詳細は、HTTPPOSTリクエストを介して操作のコマンドアンドコントロールサーバーに送信されます。
脅迫的な目標
FFDroiderのオペレーターは、被害者のアカウントにアクセスするだけでは満足していません。いいえ、FFDroiderは追加の侵襲的機能を備えて設計されています。実際、脅威はそのアクションの一環として、取得したユーザー名とパスワードを使用して、Facebook、Amazon、eBay、Instagram、Etsy、Twitter、WaxCloudウォレット上のユーザーのソーシャルメディアとeコマースアカウントを認証してアクセスします。
たとえば、FFDroiderは、被害者のFacebookを開いて、すべてのFacebookページとブックマーク、友達の数、およびFacebook広告マネージャーから取得したアカウントの請求と支払いの情報を取得できます。 Instagramでは、脅威はアカウント編集ページを開き、ユーザーの電子メールアドレス、電話番号、ユーザー名、パスワード、およびその他の機密情報を確認します。
FFDroidには、感染したシステムに破損したモジュールを追加でダウンロードして展開する機能があることに注意してください。そうすることで、攻撃者は特定の目標に応じて、他のさまざまな侵入アクションを実行できるようになります。