Антивирусным компаниям не так часто удается проследить весь цикл хакерской атаки. Как правило, они могут проанализировать сам вредоносный код и в некоторых случаях определить источник заражения. Но на этот раз нам сопутствовала удача: мы смогли отследить всю историю активности печально известного Marcher — вредоносного ПО для мобильных банков.

 

Marcher: первые шаги

Впервые Marcher появился в 2013 году и атаковал преимущественно российских пользователей. Первыми жертвами стали пользователи Google Play: зловред крал информацию о кредитных картах, предлагая ввести данные через поддельные страницы банков. Но к марту 2014 года программа эволюционировала, добавила в свой арсенал кражу учетных данных банков и теперь атаковала пользователей в Германии. Недавно Marcher вновь обнаружился с новой кампанией, распространяющейся через порносайты. Зловред продается на закрытых форумах по модели «вредоносный код как услуга», аналогично программам для ПК.

Рис. 1. Версии ОС, ставшие жертвами Marcher
Рис. 1. Версии ОС, ставшие жертвами Marcher

Жертвами Marcher становились пользователи всех официальных версий Android, включая Marshmallow.

 

Проникновение: флеш-фишинг

Фишинг до сих пор остается прекрасным способом заставить людей запустить заражение. На рис. 2 показан пример письма, отправленного одному из сотрудников Check Point.

Рис. 2. Пример письма, отправленного одному из сотрудников Check Point
Рис. 2. Пример письма, отправленного одному из сотрудников Check Point

Злоумышленник подделал имя отправителя, но оставил очень подозрительный адрес, который точно не будет использовать сотрудник Adobe. И совершенно ясно, что фишинг направлен против пользователей Android.

Если кликнуть на ссылку, начнется трехступенчатый процесс, который обманным путем заставит пользователя запустить инсталляцию из неизвестных источников (вне Google Play) и затем загрузить вредоносное приложение.

Рис. 3. Первый этап установки вредоносного приложения: загрузка
Рис. 3. Первый этап установки вредоносного приложения: загрузка
Рис. 4. Второй этап установки вредоносного приложения: инсталляция
Рис. 4. Второй этап установки вредоносного приложения: инсталляция

Как только приложение загружается, оно запрашивает расширенные полномочия для выполнения своей вредоносной задачи.

 

На устройстве: что собой представляет Marcher

Marcher — это относительно простой банковский зловред, однако новая версия способна обходить двухфакторную аутентификацию, воруя СМС, отправленные на устройство. Так же как и в случае с заражением, зловред просто убеждает пользователя дать ему дополнительные права.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


1 комментарий

  1. saikek

    09.08.2016 at 10:39

    А еще есть Xprivacy, который поможет подменить ненужные разрешения.
    Жутко раздражают по к браслетам, которое требует абсолютно всех разрешений.

Оставить мнение

Check Also

Bitcoin-инвестор подал в суд на AT&T, потеряв 23 000 000 долларов из-за мошенничества с SIM-картой

Случившееся с Bitcoin-инвестором Майклом Терпином (Michael Terpin) ярко иллюстрирует, поче…