Recentemente, ThreatLabz ha identificato un nuovo malware basato su Windows che crea una chiave di registro sotto il nome di FFDroider. Sulla base di questa osservazione, ThreatLabz ha chiamato questo nuovo malware Win32.PWS.FFDroider.
Progettato per inviare credenziali e cookie rubati a un server Command & Control, FFDroider si nasconde sui computer delle vittime per assomigliare all’applicazione di messaggistica Telegram.
Gli esperti hanno individuato più campagne che sono arrivate tramite l’URL, e tutti gli attacchi hanno sfruttato versioni corrotte di programmi di installazione e freeware contaminati.
Di seguito sono elencate le funzionalità chiave implementate in FFDroider:
Il malware è in grado di rubare dati da più browser, inclusi Chrome, Mozilla Firefox, Internet Explorer e Microsoft Edge. FFDroider si rivolge anche a siti Web come Facebook, Instagram, Twitter, Amazon, eBay ed Etsy.
FFDroider supporta anche una funzionalità di download che utilizza per aggiornarsi scaricando nuovi moduli da un server di aggiornamento. La struttura modulare consente di aggiungere nuove funzionalità nel tempo.
“Dopo aver rubato e inviato i dettagli rubati dai browser e dai siti web di destinazione, FFDroider Stealer tenta inoltre di aggiornarsi in un intervallo di tempo fisso scaricando altri moduli da un server e inviando una richiesta ad un link” continua la relazione. “Il modulo viene scritto sul disco nella directory “VlcpVideov1.01” precedentemente creata come “install.exe”.”