Trojanac Marcher krade informacije korisnika brojnih banaka i servisa

Mobilni telefoni, 21.02.2017, 09:30 AM

Trojanac Marcher krade informacije korisnika brojnih banaka i servisa

Broj infekcija Android uređaja bankarskim trojancem Marcher je u porastu. Marcher se širi fišing napadima u kojima se koriste SMS i MMS poruke. Kada dobije potrebne dozvole, malver prekriva aplikacije banaka sopstvenim prozorom kako bi prikupljao podatke korisnika uređaja.

Sve počinje fišing napadom, SMS ili MMS porukom sa linkom za lažnu verziju neke popularne aplikacije kao što je WhatsApp, Runtastic ili Netflix.

Link ne vodi do Googleove prodavnice aplikacija Play, već do neke druge prodavnice aplikacija. To se dešava samo ako je korisnik u podešavanjima odobrio preuzimanje aplikacija iz nepoznatih izvora. Jasno je da bi to trebalo sprečiti, jer uprkos povremenim incidentima, Google Play je uglavnom bezbedan izvor aplikacija.

Ako lažna aplikacija bude preuzeta i instalirana, ona će tražiti privilegije na uređaju koje nisu uobičajene za gore navedene aplikacije. Ako dobije dozvole, aplikacija postaje opasna. Ako žrtva ne prihvati zahtev aplikacije za dozvoloma, ona će mu kasnije dosađivati sve dok ne pristane da ih odobri.

Kada se to desi, Marcher radi u pozadini, u potpunosti kontrolišući uređaj kao administrator.

Od trenutka kad dobije dozvole koje zahteva, Marcher ima dva cilja. Prvi je da kompromituje sistem provere elektronskog bankarstva koji se oslanja na SMS poruke. Drugi cilj je da kreira prozor koji će omogućiti malveru fišing i krađu podataka od žrtava, kad god žrtve pokrenu aplikacije banaka. Prozor koji prikazuje malver je skoro identičan onom koji prikazuje aplikacija banke, tako da žrtva nema razloga da posumnja da se nešto čudno dešava. Napadači će na taj način doći do korisničkog imena i lozinke za nalog za e-banking, broja kreditne kartice i drugih podataka, koje mogu iskoristiti da bi izvukli novac sa računa korisnika ili koje mogu prodati drugim kriminalcima.

Dozvole koje traži malver uključuju slanje SMS poruka, zaključavanje uređaja, pokretanje malvera prilikom pokretanja uređaja, pristup informacijama o statusu WiFi veze, menjanje i brisanje SMS poruka, pozivanje određenih brojeva, presretanje SMS poruka i druge.

Spisak aplikacija koje cilja malver je veoma dug i na njemu su aplikacije sledećih banaka i servisa: BAWAG, ErsteBank, Volksbank, Bank Austria, ING DiBA Banking + Brokerage, Raiffeisen, DKB Banking, Santander MobileBanking, Barclays, Bank of Scotland, Lloyds Bank, Halifax, HSBC, Banco de Brasil, ING Direct Australia Banking, Citi Mobile, PayPal i Garanti, ali i mnoge druge. Neke banke se nekoliko puta pojavljuju na ovom spisku zato što imaju različite aplikacije za različite države. Na spisku se nalazi 117 aplikacija banaka i servisa za plaćanje.

Druge aplikacije koje cilja Marcher su Instagram, Play Store, Facebook, Skype, Viber, WhatsApp, Messenger, Gmail i Amazon Shopping.

Najgori deo ove priče o Marcheru je to što ako korisnik inficiranog uređaja ima instaliran antivirus, to neće biti od pomoći. Malver koristi jednostavnu tehniku - on traži antivirusne aplikacije na uređaju, i ako nađe takvu aplikaciju on primorava telefon da se vrati na početni ekran. Zbog toga, čak i da antivirus primeti infekciju, on ne može da je ukloni sve dok od korisnika ne dobije dozvolu. S obzirom da Marcher ne dozvoljava korisniku da vidi interfejs antvirusa, korisnik ne može da da dozvolu antivirusu da ukloni trojanca.

Spisak antivirusnih aplikacija koje malver na ovakav način može da savlada uključuje poznate antivirusne aplikacije kao što su Norton, BitDefender, Kaspersky, AVG Avast i Avira, kao i poznate alate CCleaner, Dr.Web Ligt, CM Security AppLock Antivirus i mnoge druge.

S obzirom da Marcher dobija dozvolu da šalje SMS poruke, verovatno je da će sa inficiranog uređaja slati SMS poruke prijateljima žrtve sa predlogom da preuzmu lažne aplikacije.

Prema podacima firme Securify, inficirano je skoro 5700 uređaja u Nemačkoj i 2200 uređaja u Francuskoj, a ukupno 11000 uređaja. Većina inficiranih uređaja ima instaliran Android 6.0.1.

Šta uraditi u slučaju infekcije Android uređaja trojancem Marcher? Jedini način da se problem reši je vraćanje uređaja na fabrička podešavanja.

Ipak, još bolje je ne otvarati linkove koji stignu u SMS ili MMS porukama, čak i ako izgleda da poruke šalju prijatelji. Čak i ako se klikne na link, ne treba instalirati aplikacije iz nepoznatih izvora.

Treba biti oprezan prilikom instalacije novih aplikacija koje traže dozvole koje su im nepotrebne za ono čemu su namenjene. Osim toga, u podešavanjima treba onemogućiti preuzimanje aplikacija iz nepoznatih izvora. Preporuka stručnjaka kompanije BitDefender je da se aplikacije preuzimaju samo iz zvaničnih prodavnica aplikacija, jer se tamo proveravaju. Pa čak i tada, pre instaliranja nove aplikacije, treba pogledati ocene drugih korisnika.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple zabranio aplikaciju koja pomaže korisnicima da uhode ljude koje prate na Instagramu

Apple je zabranio aplikaciju Like Patrol koja omogućava ljudima da prate aktivnosti drugih na Instagramu. Like Patrol je aplikacija koja je naplać... Dalje

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Alijansa za odbranu aplikacija proveravaće aplikacije pre nego što budu objavljene u Play prodavnici

Google je najavio da će udružiti snage sa kompanijama ESET, Lookout i Zimperium da bi poboljšali otkrivanje zlonamernih Android aplikacija pre neg... Dalje

Facebook tuži izraelskog proizvođača špijunskog softvera zbog hakovanja korisnika WhatsAppa

Facebook tuži izraelskog proizvođača špijunskog softvera zbog hakovanja korisnika WhatsAppa

Facebook je u utorak podneo tužbu protiv izraelske firme za nadzor mobilnih uređaja NSO Grupe, tvrdeći da je ova firma aktivno bila uključena u h... Dalje

Trojanac koji je inficirao 45000 Android uređaja ponovo se instalira nakon uklanjanja

Trojanac koji je inficirao 45000 Android uređaja ponovo se instalira nakon uklanjanja

U proteklih nekoliko meseci stotine korisnika Androida žalile su se na internetu na misteriozni malver koji se skriva na zaraženim uređajima i koji... Dalje

Google zbog malvera uklonio aplikaciju za ulepšavanje fotografija

Google zbog malvera uklonio aplikaciju za ulepšavanje fotografija

Google je iz svoje Play prodavnice aplikacija za Android uređaje uklonio aplikaciju pod nazivom Yellow Camera i druge slične aplikacije nakon što j... Dalje