Die Sicherheitsexperten von Zscaler haben eine neue Malware entdeckt. Der Informationsdieb wurde FFDroider getauft und hat es auf im Browser gespeicherte Login-Informationen und Cookies abgesehen. Die Verbreitung der Malware erfolgt über Software-Cracks für Programme und Spiele, die von den Opfern über Torrents heruntergeladen werden. Bei der Installation dieser Cracks wird auch FFDroider mitinstalliert. Um unverdächtig auszusehen, tarnt sich die Malware dabei als Desktop-App des Messengers Telegram.
Malware entschlüsselt Cookies und Login-Daten
Wird die Malware gestartet, erstellt sie einen Windows-Registrierungsschlüssel namens „FFDroider“. Die Schadsoftware zielt auf den Diebstahl von Cookies und Login-Daten ab, die in Chrome-basierten Browsern, Google Chrome, Internet Explorer, Microsoft Edge und Mozilla Firefox gespeichert sind. Um Anmeldedaten in SQLite und Chromium-SQLite zu entschlüsseln, nutzt FFDroider die CryptUnProtectData-Funktion der Windows Crypt API. In den anderen Browsern missbraucht die Malware unter anderem die Funktionen InternetGetCookieRxW und IEGet ProtectedMode Cookie.
Nur Social-Media und E-Commerce interessant
Im Gegensatz zu anderen Trojanern, die es auf Login-Daten abgesehen haben, interessiert sich FFDroider nur für Social-Media-Zugangsdaten sowie für Logins von E-Commerce-Webseiten. Dazu zählen etwa Amazon, Facebook, Instagram, Ebay, Twitter oder Etsy. Ziel der Malware ist es, gültige Cookies zu stehlen, die zur Authentifizierung auf den Plattformen genutzt werden können. Im laufenden Betrieb testet die Malware die Gültigkeit. Ist der Test erfolgreich, holt sich FFDroider alle Lesezeichen, Facebook-Seiten und die Anzahl der Freunde des Opfers sowie die Zahlungs- und Abrechnungsinformationen aus dem Facebook Ads Manager.
Vorsicht bei Downloads aus unbekannten Quellen
Beim Beispiel von Instagram greift FFDroider unter anderem die Telefonnummer, den Benutzernamen, das Passwort und die E-Mail-Adresse des Nutzers ab. Die Malware versucht hier direkt, sich beim betreffenden Dienst anzumelden, um noch weitere Informationen zu stehlen. Wurden die Informationen an die Betreiber weitergeleitet, versucht FFDroider in festen Zeitabständen zusätzliche Module von seinen Servern herunterzuladen. Zu diesen Modulen sind laut Zscaler jedoch noch keine Details bekannt. Um sich vor FFDroider zu schützen, sollten Nutzer von illegalen Downloads und unbekannten Quellen absehen oder die Downloads als Vorsichtsmaßnahme vor der Installation noch einmal von einer Antivirenlösung prüfen lassen.
Autor: Denise Bergert, Autorin
Denise Bergert schreibt seit 2011 als freie IT-Journalistin für pcwelt.de. Ihre Themenschwerpunkte sind Smartphones, Internet, Gaming, Gadgets, Filme, Serien und Security.