FFDroider Malware

El malware FFDroider ha sido categorizado como un ladrón de información. Esta pieza particular de malware está diseñada para enfocarse en las cuentas de redes sociales de la víctima y extraer tanta información como sea posible. Los detalles técnicos sobre la amenaza fueron publicados en un informe de los investigadores que analizaron varias muestras de la amenaza.

La cadena de infección

Al igual que muchas amenazas de malware, FFDroider también se propaga a través de videojuegos comprometidos y grietas de software, aplicaciones y juegos gratuitos u otros archivos populares descargados de sitios web de torrents sospechosos. FFDroider se implementará en los dispositivos del usuario junto con los elementos descargados. Para evitar levantar sospechas y ser detectada, la amenaza se disfrazará de la versión de escritorio del cliente de Telegram. Una de las primeras acciones que realizará el malware será crear una nueva clave de registro de Windows denominada 'FFDroider'.

Una vez establecido en el sistema, el malware comenzará a extraer datos almacenados en los navegadores web instalados. Google Chrome y otros navegadores basados en Chromium, Mozilla Firefox, Microsoft Edge e Internet Explorer pueden verse afectados por la amenaza. Para obtener los datos de la cookie Chromium SQLite y las credenciales almacenadas, FFDroider utiliza la API de Windows Crypt y, más específicamente, la función CryptUnProtectData. Para los otros navegadores objetivo, la amenaza abusa de funciones, como InternetGetCookieRxW e IEGet ProtectedMode Cookie.

Los datos descifrados dan como resultado información de texto claro que contiene las credenciales de la cuenta de la víctima, como nombres de usuario y contraseñas. Los detalles extraídos luego se filtran al servidor de comando y control de la operación a través de una solicitud HTTP POST.

Objetivos amenazantes

Los operadores de FFDroider no se conforman con acceder a las cuentas de las víctimas. No, FFDroider está diseñado con capacidades invasivas adicionales. De hecho, como parte de sus acciones, la amenaza utiliza los nombres de usuario y contraseñas obtenidos para autenticar y acceder a las redes sociales y cuentas de comercio electrónico del usuario en Facebook, Amazon, eBay, Instagram, Etsy, Twitter y la billetera Wax Cloud.

Por ejemplo, FFDroider puede abrir el Facebook de la víctima y obtener todas las páginas y marcadores de Facebook, la cantidad de amigos y la información de facturación y pago de la cuenta tomada del administrador de anuncios de Facebook. En Instagram, la amenaza abrirá la página de edición de la cuenta para ver la dirección de correo electrónico, el número de teléfono, el nombre de usuario, la contraseña y otros detalles confidenciales del usuario.

Cabe señalar que FFDroid posee la capacidad de descargar e implementar módulos corruptos adicionales en los sistemas infectados. Si lo hace, puede permitir a los atacantes realizar otras acciones invasivas en función de sus objetivos específicos.