Антивирусным компаниям не так часто удается проследить весь цикл хакерской атаки. Как правило, они могут проанализировать сам вредоносный код и в некоторых случаях определить источник заражения. Но на этот раз нам сопутствовала удача: мы смогли отследить всю историю активности печально известного Marcher — вредоносного ПО для мобильных банков.

 

Marcher: первые шаги

Впервые Marcher появился в 2013 году и атаковал преимущественно российских пользователей. Первыми жертвами стали пользователи Google Play: зловред крал информацию о кредитных картах, предлагая ввести данные через поддельные страницы банков. Но к марту 2014 года программа эволюционировала, добавила в свой арсенал кражу учетных данных банков и теперь атаковала пользователей в Германии. Недавно Marcher вновь обнаружился с новой кампанией, распространяющейся через порносайты. Зловред продается на закрытых форумах по модели «вредоносный код как услуга», аналогично программам для ПК.

Рис. 1. Версии ОС, ставшие жертвами Marcher
Рис. 1. Версии ОС, ставшие жертвами Marcher

Жертвами Marcher становились пользователи всех официальных версий Android, включая Marshmallow.

 

Проникновение: флеш-фишинг

Фишинг до сих пор остается прекрасным способом заставить людей запустить заражение. На рис. 2 показан пример письма, отправленного одному из сотрудников Check Point.

Рис. 2. Пример письма, отправленного одному из сотрудников Check Point
Рис. 2. Пример письма, отправленного одному из сотрудников Check Point

Злоумышленник подделал имя отправителя, но оставил очень подозрительный адрес, который точно не будет использовать сотрудник Adobe. И совершенно ясно, что фишинг направлен против пользователей Android.

Если кликнуть на ссылку, начнется трехступенчатый процесс, который обманным путем заставит пользователя запустить инсталляцию из неизвестных источников (вне Google Play) и затем загрузить вредоносное приложение.

Рис. 3. Первый этап установки вредоносного приложения: загрузка
Рис. 3. Первый этап установки вредоносного приложения: загрузка
Рис. 4. Второй этап установки вредоносного приложения: инсталляция
Рис. 4. Второй этап установки вредоносного приложения: инсталляция

Как только приложение загружается, оно запрашивает расширенные полномочия для выполнения своей вредоносной задачи.

 

На устройстве: что собой представляет Marcher

Marcher — это относительно простой банковский зловред, однако новая версия способна обходить двухфакторную аутентификацию, воруя СМС, отправленные на устройство. Так же как и в случае с заражением, зловред просто убеждает пользователя дать ему дополнительные права.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


1 комментарий

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Как сделать игру. Выбираем движок и пишем клон тех самых «танчиков»

С каждым днем игры становятся все сложнее и навороченнее. Быть инди, а точнее соло-разрабо…