鑽石舞台

FFDroider在受感染的系統上創建註冊表項(Zscaler)

下圖為研究人員整理的攻擊流程圖，說明了該惡意軟件是如何安裝在受害者設備上的。

FFDroider的感染和操作流程（Zscaler）

FFDroider的目標是存儲在Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge中的cookie和帳戶憑證。例如，該惡意軟件通過濫用Windows Crypt API，特別是CryptUnProtectData，來讀取和解析Chromium SQLite cookie和SQLite Credential存儲並解密條目。對其他瀏覽器的竊取過程也類似，即使用InternetGetCookieRxW和IEGet ProtectedMode Cookie等功能來抓取所有存儲在Explorer和Edge中的Cookie。

惡意軟件執行功能，從IE中竊取Facebook cookies （Zscaler）

竊取和解密後會產生明文用戶名和密碼，然後通過HTTP POST請求泄露到C2服務器。

通過POST請求泄漏被盜數據(Zscaler)

與其他木馬不同，FFDroider的運營商對存儲在瀏覽器中的所有賬戶憑證並不感興趣，而是專注於竊取可在Facebook、Instagram、Amazon、eBay、Etsy、Twitter 和WAX雲錢包等社交媒體賬戶和電子商務網站進行身份驗證的有效cookie，惡意軟件會在此過程中進行動態測試。

從瀏覽器竊取Facebook的cookies(Zscaler)

以Facebook為例，如果身份驗證成功，FFDroider就會從Facebook廣告管理器中獲取所有頁面和書籤、受害者的好友數量以及賬單和支付信息。威脅參與者可能會利用這些信息在社交媒體平台上開展欺詐性廣告活動，並向更多人推廣他們的惡意軟件。

如果成功登錄Instagram，FFDroider將打開賬戶編輯網頁，獲取電子郵件地址、手機號碼、用戶名、密碼等詳細信息。

試用被盜的 Instagram cookie(Zscaler)

FFDroider不僅可以竊取憑證，而且可以登錄平台並獲得更多的信息。在竊取信息並將所有內容發送到C2服務器之後，該惡意軟件就專注於以固定的時間間隔從服務器上下載額外的模塊。Zscaler的分析師沒有提供更多關於這些模塊的細節，但FFDroider具有下載器功能使其威脅變得更大。

為避免安裝惡意軟件，人們應遠離非法下載和未知軟件來源。作為額外的預防措施，可以將下載內容上傳到VirusTotal惡意軟件分析平台，以檢測其是否為惡意軟件。