Nova verzija Android trojanca Marcher krade lozinke za Facebook, Instagram, Gmail, Skype, WhatsApp i Viber

Mobilni telefoni, 22.08.2016, 07:30 AM

Nova verzija Android trojanca Marcher krade lozinke za Facebook, Instagram, Gmail, Skype, WhatsApp i Viber

Trojanac za Android, poznat pod nazivom Marcher, pojavio se 2013. godine. Prva verzija ovog malvera prikupljala je korisnička imena i lozinke, ali i informacije o kreditnim karticama korisnika. Malver bi čekao da žrtve otvore aplikaciju Google Play i zatim je prikazivao lažnu html stranicu tražeći od korisnika da unesu informacije o kreditnoj kartici. Lažna stranica je prekrivala aplikaciju Play i nije je bilo moguće ukloniti sa ekrana sve dok korisnik ne bi uneo tražene informacije.

U martu 2014. pojavile su se nove verzije malvera koje su ciljale aplikacije banaka, najpre onih u Nemačkoj. Pošto bi inficirao uređaj, malver bi svom komando-kontrolnom (C&C) serveru slao spisak instaliranih aplikacija. Ako bi među njima bile aplikacije nemačkih banaka, malver je prikazivao lažnu stranicu tražeći od žrtve da unese korisničko ime i lozinku za svoj račun. Ukradene podatke malver je slao C&C serveru. Ako na uređaju nije bilo aplikacije banke, malver je pokazivao lažnu stranicu preko aplikacije Google Play.

Kasnije je Marcher ciljao i korisnike banaka u Australiji, Francuskoj, Turskoj i SAD. Neke verzije malvera su ciljale i korisnike PayPala.

Marcher je prvobitno bio distriburian preko lažnih aplikacija Amazon i Google Play, preko lažnih porno sajtova gde je predstavljan kao ažuriranje za Adobe Flash Player, ali i preko SMS i email spama.

Stručnjaci kompanije Zscaler primetili su da se Marcher sada distribuira kao lažno ažuriranje za Android firmware. Stranica sa koje se širi malver je u funkciji zastrašivanja potencijalnih žrtava koje treba ubediti da su im uređaji ranjivi i podložni infekciji virusima. Da bi navodno sprečili krađu podataka sa uređaja, korisnici treba da instaliraju ovo lažno ažuriranje.

Da bi mogao da radi ono čemu je namenjen, Marcher traži administratorski pristup.

Kada se pojavio 2013., Macrcher je ciljao samo korisnike u Rusiji. Nova verzija to ne radi. Ona proverava odakle je uređaj, i obustavlja svoje aktivnosti ako se uređaj nalazi na teritoriji država bivšeg SSSR-a. Autor malvera očigedno želi da izbegne probleme na svom terenu, što implicira da su malver i njegov autor iz neke od ovih država.

Još jedna novina koju su stručnjaci Zscalera primetili kod nove verzije malvera je da on više ne prikazuje pomenutu fišing stranicu samo iznad aplikacije Play, kada korisnik otvori aplikaciju. Sada isto to radi i kada korisnik pokrene popularne aplikacije - Viber, Whatsapp, Skype, Facebook messenger, Facebook, Instagram, Chrome, Twitter, Gmail, UC Browser, Line.

I komunikacija sa C&C serverom je promenjena. Starije verzije su slale podatke u obliku običnog teksta preko HTTP, dok ih nova verzija šalje šifrovane preko SSL.

“Ove stalne promene jasno ukazuju na aktivni razvoj malvera koji se konstantno razvija, što ga čini jednom od najraširenijih pretnji Android uređajima”, kažu iz Zscalera.

Ako ne biste da se nađete među žrtvama ovog malvera, uvek preuzimajte aplikacije iz proverenih izvora, kao što je Googleova prodavnica Play.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Nakon medijskih izveštaja da čitač otiska prsta u Samsung Galaxy S10 telefonima otključava uređaj i kad skenira neregistrovane otiske prstiju pre... Dalje

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Par iz Velike Britanije primetio je čudnu grešku na svom Samsung Galaxy S10 koja omogućava da se zaobiđe čitač otiska prsta kako bi se otključ... Dalje

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Googleova Grupa za analizu pretnji (TAG) otkrila je novi 0-day bag u Androidu koji se uveliko koristi za napade na ranjive pametne telefone - Google P... Dalje