Trojanac Marcher krade informacije korisnika brojnih banaka i servisa

Mobilni telefoni, 21.02.2017, 09:30 AM

Broj infekcija Android uređaja bankarskim trojancem Marcher je u porastu. Marcher se širi fišing napadima u kojima se koriste SMS i MMS poruke. Kada dobije potrebne dozvole, malver prekriva aplikacije banaka sopstvenim prozorom kako bi prikupljao podatke korisnika uređaja.

Sve počinje fišing napadom, SMS ili MMS porukom sa linkom za lažnu verziju neke popularne aplikacije kao što je WhatsApp, Runtastic ili Netflix.

Link ne vodi do Googleove prodavnice aplikacija Play, već do neke druge prodavnice aplikacija. To se dešava samo ako je korisnik u podešavanjima odobrio preuzimanje aplikacija iz nepoznatih izvora. Jasno je da bi to trebalo sprečiti, jer uprkos povremenim incidentima, Google Play je uglavnom bezbedan izvor aplikacija.

Ako lažna aplikacija bude preuzeta i instalirana, ona će tražiti privilegije na uređaju koje nisu uobičajene za gore navedene aplikacije. Ako dobije dozvole, aplikacija postaje opasna. Ako žrtva ne prihvati zahtev aplikacije za dozvoloma, ona će mu kasnije dosađivati sve dok ne pristane da ih odobri.

Kada se to desi, Marcher radi u pozadini, u potpunosti kontrolišući uređaj kao administrator.

Od trenutka kad dobije dozvole koje zahteva, Marcher ima dva cilja. Prvi je da kompromituje sistem provere elektronskog bankarstva koji se oslanja na SMS poruke. Drugi cilj je da kreira prozor koji će omogućiti malveru fišing i krađu podataka od žrtava, kad god žrtve pokrenu aplikacije banaka. Prozor koji prikazuje malver je skoro identičan onom koji prikazuje aplikacija banke, tako da žrtva nema razloga da posumnja da se nešto čudno dešava. Napadači će na taj način doći do korisničkog imena i lozinke za nalog za e-banking, broja kreditne kartice i drugih podataka, koje mogu iskoristiti da bi izvukli novac sa računa korisnika ili koje mogu prodati drugim kriminalcima.

Dozvole koje traži malver uključuju slanje SMS poruka, zaključavanje uređaja, pokretanje malvera prilikom pokretanja uređaja, pristup informacijama o statusu WiFi veze, menjanje i brisanje SMS poruka, pozivanje određenih brojeva, presretanje SMS poruka i druge.

Spisak aplikacija koje cilja malver je veoma dug i na njemu su aplikacije sledećih banaka i servisa: BAWAG, ErsteBank, Volksbank, Bank Austria, ING DiBA Banking + Brokerage, Raiffeisen, DKB Banking, Santander MobileBanking, Barclays, Bank of Scotland, Lloyds Bank, Halifax, HSBC, Banco de Brasil, ING Direct Australia Banking, Citi Mobile, PayPal i Garanti, ali i mnoge druge. Neke banke se nekoliko puta pojavljuju na ovom spisku zato što imaju različite aplikacije za različite države. Na spisku se nalazi 117 aplikacija banaka i servisa za plaćanje.

Druge aplikacije koje cilja Marcher su Instagram, Play Store, Facebook, Skype, Viber, WhatsApp, Messenger, Gmail i Amazon Shopping.

Najgori deo ove priče o Marcheru je to što ako korisnik inficiranog uređaja ima instaliran antivirus, to neće biti od pomoći. Malver koristi jednostavnu tehniku - on traži antivirusne aplikacije na uređaju, i ako nađe takvu aplikaciju on primorava telefon da se vrati na početni ekran. Zbog toga, čak i da antivirus primeti infekciju, on ne može da je ukloni sve dok od korisnika ne dobije dozvolu. S obzirom da Marcher ne dozvoljava korisniku da vidi interfejs antvirusa, korisnik ne može da da dozvolu antivirusu da ukloni trojanca.

Spisak antivirusnih aplikacija koje malver na ovakav način može da savlada uključuje poznate antivirusne aplikacije kao što su Norton, BitDefender, Kaspersky, AVG Avast i Avira, kao i poznate alate CCleaner, Dr.Web Ligt, CM Security AppLock Antivirus i mnoge druge.

S obzirom da Marcher dobija dozvolu da šalje SMS poruke, verovatno je da će sa inficiranog uređaja slati SMS poruke prijateljima žrtve sa predlogom da preuzmu lažne aplikacije.

Prema podacima firme Securify, inficirano je skoro 5700 uređaja u Nemačkoj i 2200 uređaja u Francuskoj, a ukupno 11000 uređaja. Većina inficiranih uređaja ima instaliran Android 6.0.1.

Šta uraditi u slučaju infekcije Android uređaja trojancem Marcher? Jedini način da se problem reši je vraćanje uređaja na fabrička podešavanja.

Ipak, još bolje je ne otvarati linkove koji stignu u SMS ili MMS porukama, čak i ako izgleda da poruke šalju prijatelji. Čak i ako se klikne na link, ne treba instalirati aplikacije iz nepoznatih izvora.

Treba biti oprezan prilikom instalacije novih aplikacija koje traže dozvole koje su im nepotrebne za ono čemu su namenjene. Osim toga, u podešavanjima treba onemogućiti preuzimanje aplikacija iz nepoznatih izvora. Preporuka stručnjaka kompanije BitDefender je da se aplikacije preuzimaju samo iz zvaničnih prodavnica aplikacija, jer se tamo proveravaju. Pa čak i tada, pre instaliranja nove aplikacije, treba pogledati ocene drugih korisnika.