A Internet está cheia de esquemas prontos a atacar os mais desatentos, e se costuma descarregar programas de sites “suspeitos”, talvez seja melhor ter atenção a uma nova variante que tem vindo a surgir em força: o FFDroider.

Este novo malware foi descoberto por investigadores da empresa de segurança Zscaler, e foca-se em roubar dados de autenticação em perfis sociais das vítimas, nomeadamente do Facebook, Instagram, Twitter, entre outros. Apesar do nome reverter para o Android, na realidade o malware distribui-se mais com foco a sistemas Windows.

O mesmo é distribuído sobre programas de crack para software pago, jogos e outro género de aplicações disponíveis em plataformas de torrents pela Internet. Uma vez instalado, o malware faz-se passar como uma aplicação do Telegram no sistema, para ocultar a sua atividade.

Além disso, cria ainda uma chave de registo com o nome “FFDroider”, onde se encontram as informações do mesmo para atuar no sistema infetado – e dai o nome dado pelos investigadores.

O FFDroider foca-se em roubar dados de credenciais a partir do navegador. Este tenta roubar os cookies de diversos sites, como o Facebook, Instagram e Twitter, e sobre diferentes navegadores – Chrome, Edge, Brave, Opera, entre outros.

Se o utilizador tiver a sua conta ativa no navegador, os dados roubados permitem que terceiros possam aceder à mesma até mesmo sem que os atacantes tenham de saber a senha.

Depois de roubados, estes dados são enviados para um sistema em controlo dos atacantes, e usados para aceder às contas das vítimas. O mais grave será mesmo que o malware não necessita de roubar a senha das contas – basta os cookies do navegador. Como a maioria dos utilizadores mantêm as suas contas ligadas, estes cookies podem depois ser usados noutros sistemas remotamente.

Curiosamente, os criadores do FFDroider não parecem ter interesse em outras senhas ou contas do utilizador, apenas de plataformas especificas como o Facebook, Instagram, Amazon, eBay, Etsy, Twitter e um portal sobre o nome de WAX Cloud.

Com este acesso, o malware procede depois com o roubo de informação das vítimas. Caso estas tenham acesso ao Facebook Ads ou a outras plataformas de publicidade, são ainda usadas as mesmas para realizar campanhas de forma a propagar o mesmo a outras potenciais vítimas – usando os dados bancários das vitimas para o pagamento.

No caso do Instagram, o mesmo tenta ainda alterar vários dados das contas dos utilizadores, como os emails, números de telefone, entre outros. Este aspeto também será interessante, porque o malware não se foca apenas em roubar os dados, mas usar esse acesso para levar a roubos ainda mais exaustivos.

Como sempre, é recomendado que se tenha extremo cuidado ao descarregar conteúdos de sites desconhecidos, sobretudo quando associados a cracks ou programas pagos a serem distribuídos de forma gratuita.