FFDroider Malware

Le logiciel malveillant FFDroider a été classé comme voleur d'informations. Ce logiciel malveillant particulier est conçu pour se concentrer sur les comptes de médias sociaux de la victime et en extraire autant d'informations que possible. Des détails techniques sur la menace ont été publiés dans un rapport par les chercheurs qui ont analysé plusieurs échantillons de la menace.

La chaîne des infections

Comme de nombreuses menaces de logiciels malveillants, FFDroider se propage également via des jeux vidéo compromis et des fissures logicielles, des applications et des jeux gratuits, ou d'autres fichiers populaires téléchargés à partir de sites Web torrent louches. FFDroider sera déployé sur les appareils de l'utilisateur avec les éléments téléchargés. Pour éviter d'éveiller les soupçons et d'être détectée, la menace se déguisera en version de bureau du client Telegram. L'une des premières actions entreprises par le logiciel malveillant sera de créer une nouvelle clé de registre Windows nommée "FFDroider".

Une fois établi sur le système, le logiciel malveillant commencera à extraire les données stockées dans les navigateurs Web installés. Google Chrome et d'autres navigateurs basés sur Chromium, Mozilla Firefox, Microsoft Edge et Internet Explorer peuvent tous être affectés par la menace. Pour obtenir les données du cookie Chromium SQLite et les informations d'identification stockées, FFDroider utilise l'API Windows Crypt et plus précisément la fonction CryptUnProtectData. Pour les autres navigateurs ciblés, la menace abuse des fonctions, telles que InternetGetCookieRxW et IEGet ProtectedMode Cookie.

Les données décryptées génèrent des informations en texte clair contenant les informations d'identification du compte de la victime, telles que les noms d'utilisateur et les mots de passe. Les détails extraits sont ensuite exfiltrés vers le serveur Command-and-Control de l'opération via une requête HTTP POST.

Objectifs menaçants

Les opérateurs de FFDroider ne se contentent pas d'accéder aux comptes de la victime. Non, FFDroider est conçu avec des capacités invasives supplémentaires. En effet, dans le cadre de ses actions, la menace utilise les noms d'utilisateur et mots de passe obtenus pour authentifier et accéder aux comptes de médias sociaux et de commerce électronique de l'utilisateur sur Facebook, Amazon, eBay, Instagram, Etsy, Twitter et le portefeuille Wax Cloud.

Par exemple, FFDroider peut ouvrir le Facebook de la victime et récupérer toutes les pages et signets Facebook, le nombre d'amis et les informations de facturation et de paiement du compte extraites du gestionnaire de publicités Facebook. Sur Instagram, la menace ouvrira la page de modification du compte pour voir l'adresse e-mail, le numéro de téléphone, le nom d'utilisateur, le mot de passe et d'autres détails confidentiels de l'utilisateur.

Il convient de noter que FFDroid possède la capacité de télécharger et de déployer des modules corrompus supplémentaires sur les systèmes infectés. Cela peut permettre aux attaquants d'effectuer diverses autres actions invasives en fonction de leurs objectifs spécifiques.