Антивирусным компаниям не так часто удается проследить весь цикл хакерской атаки. Как правило, они могут проанализировать сам вредоносный код и в некоторых случаях определить источник заражения. Но на этот раз нам сопутствовала удача: мы смогли отследить всю историю активности печально известного Marcher — вредоносного ПО для мобильных банков.

 

Marcher: первые шаги

Впервые Marcher появился в 2013 году и атаковал преимущественно российских пользователей. Первыми жертвами стали пользователи Google Play: зловред крал информацию о кредитных картах, предлагая ввести данные через поддельные страницы банков. Но к марту 2014 года программа эволюционировала, добавила в свой арсенал кражу учетных данных банков и теперь атаковала пользователей в Германии. Недавно Marcher вновь обнаружился с новой кампанией, распространяющейся через порносайты. Зловред продается на закрытых форумах по модели «вредоносный код как услуга», аналогично программам для ПК.

Рис. 1. Версии ОС, ставшие жертвами Marcher
Рис. 1. Версии ОС, ставшие жертвами Marcher

Жертвами Marcher становились пользователи всех официальных версий Android, включая Marshmallow.

 

Проникновение: флеш-фишинг

Фишинг до сих пор остается прекрасным способом заставить людей запустить заражение. На рис. 2 показан пример письма, отправленного одному из сотрудников Check Point.

Рис. 2. Пример письма, отправленного одному из сотрудников Check Point
Рис. 2. Пример письма, отправленного одному из сотрудников Check Point

Злоумышленник подделал имя отправителя, но оставил очень подозрительный адрес, который точно не будет использовать сотрудник Adobe. И совершенно ясно, что фишинг направлен против пользователей Android.

Если кликнуть на ссылку, начнется трехступенчатый процесс, который обманным путем заставит пользователя запустить инсталляцию из неизвестных источников (вне Google Play) и затем загрузить вредоносное приложение.

Рис. 3. Первый этап установки вредоносного приложения: загрузка
Рис. 3. Первый этап установки вредоносного приложения: загрузка
Рис. 4. Второй этап установки вредоносного приложения: инсталляция
Рис. 4. Второй этап установки вредоносного приложения: инсталляция

Как только приложение загружается, оно запрашивает расширенные полномочия для выполнения своей вредоносной задачи.

 

На устройстве: что собой представляет Marcher

Marcher — это относительно простой банковский зловред, однако новая версия способна обходить двухфакторную аутентификацию, воруя СМС, отправленные на устройство. Так же как и в случае с заражением, зловред просто убеждает пользователя дать ему дополнительные права.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Check Also

В Google Play дважды проник вредонос, содержащий код опенсорсного шпионского ПО

Малварь, основанная на исходном коде AhMyth RAT, сумела дважды проникнуть в каталог прилож…

1 комментарий

  1. Аватар

    saikek

    09.08.2016 at 10:39

    А еще есть Xprivacy, который поможет подменить ненужные разрешения.
    Жутко раздражают по к браслетам, которое требует абсолютно всех разрешений.

Оставить мнение