Los expertos en seguridad de Zscaler han descubierto un nuevo malware. El ladrón de información ha sido bautizado como FFDroider y tiene como objetivo la información de acceso y las cookies almacenadas en el navegador. El malware se propaga a través de cracks de programas y juegos que las víctimas descargan a través de torrents. Al instalar estos cracks, también se instala FFDroider. Para no parecer sospechoso, el malware se disfraza de la aplicación de escritorio del mensajero Telegram.
Si el malware se inicia, crea una clave del registro de Windows llamada “FFDroider”. El malware tiene como objetivo robar las cookies y los datos de acceso almacenados en los navegadores basados en Chrome, Google Chrome, Internet Explorer, Microsoft Edge y Mozilla Firefox. Para descifrar los datos de acceso en SQLite y Chromium SQLite, FFDroider utiliza la función CryptUnProtectData de la API Crypt de Windows. En los demás navegadores, el malware abusa de las funciones InternetGetCookieRxW e IEGet ProtectedMode Cookie, entre otras.
A diferencia de otros troyanos que tienen como objetivo los datos de inicio de sesión, FFDroider sólo está interesado en los datos de acceso a las redes sociales y a los inicios de sesión en sitios web de comercio electrónico. Entre ellas, Amazon, Facebook, Instagram, Ebay, Twitter o Etsy. El objetivo del malware es robar cookies válidas que puedan ser utilizadas para la autenticación en las plataformas. El malware comprueba la validez durante el funcionamiento. Si la prueba tiene éxito, FFDroider obtiene todos los marcadores, las páginas de Facebook y el número de amigos de la víctima, así como la información de pago y facturación del administrador de anuncios de Facebook.
En el ejemplo de Instagram, FFDroider obtiene el número de teléfono del usuario, su nombre de usuario, su contraseña y su dirección de correo electrónico, entre otras cosas. En este caso, el malware intenta directamente entrar en el servicio en cuestión para robar aún más información. Una vez transmitida la información a los operadores, FFDroider intenta descargar módulos adicionales de sus servidores a intervalos fijos. Sin embargo, según Zscaler, aún no se conocen detalles sobre estos módulos. Para protegerse de FFDroider, los usuarios deben abstenerse de realizar descargas ilegales y de fuentes desconocidas o, como medida de precaución, hacer que las descargas sean revisadas de nuevo por una solución antivirus antes de su instalación.
Con información de ADSLZone.