Wymiana informacji pomiędzy badaczami malware przydaje się w najmniej spodziewanych momentach. W Polsce został zauważony trojan bankowy, który obrał sobie za cel użytkowników bankowości elektronicznej. Trojan Marcher po raz pierwszy został wykryty w 2013 roku. Jego pochodzenie przypisuje się autorowi z Rosji, kiedy to w roku 2013 był do sprzedania na jednym z rosyjskich forów undergroundowych.
W pierwszym roku swojej aktywności, Marcher był wykorzystywany przez przestępców do kradzieży danych z kart kredytowych. Jego działanie było typowe i niczym nie odbiegało od współczesnych “standardów”. W dodatku, swoją szkodliwą aktywnością bardzo przypomina niedawne zagrożenie, o którym Związek Banków Polskich ostrzegał klientów polskich banków.
W obu przypadkach, trojan pobierany jest albo jako złośliwa aplikacja ze sklepu Google Play lub z innego nieoficjalnego źródła, albo też jako aktualizacja jednego z zainstalowanych programów w telefonie użytkownika. Jeśli szkodnik zostanie pobrany i zainstalowany w systemie (żąda uprawnień administratora), a ofiara zechce skorzystać z aplikacji bankowej, trojan podstawi własne okno logowania dopasowując się do zainstalowanej aplikacji. A więc bardzo podobnie, jak podczas szkodliwej kampanii z udziałem trojana bankowego w maju.
Kolejnym podobieństwem jest to, że trojan Marcher dysponuje nie tylko zestawem nakładek na aplikacje polskich banków, ale także na aplikacje, za pomocą których ofiara zrealizuje płatność za bilet lotniczy. Co więcej, zadaniem trojana jest kradzież danych z karty płatniczej, w tym numeru karty, daty ważności, kodu CVV2 i innych informacji.
Tak było do roku 2016. Obecna wersja trojana Marcher posiada kilka modułów, dzięki którym trojan może przechwytywać wiadomości SMS, dzwonić w imieniu ofiary na numery premium, kraść historię przeglądanych stron, listę kontaktów i zainstalowanych aplikacji. Dane te zostają wysłane do cyberprzestępcy i mogą zostać wykorzystane do kolejnych ataków w poźniejszym czasie.W ostatnich dniach ofiarami trojana Marcher są użytkownicy z krajów:
- 19% – Niemcy
- 19% – Francja
- 10% – Polska
- 10% – Wielka Brytania
- 7% – Turcja
- 7% – USA
- 6% – Australia
- 5% – Hiszpania
- 4% – Austria
- 13% – pozostałe
Większość próbek jest pozytywnie wykrywana przez poszczególne silniki antywirusowe.
Wskazówki bezpieczeństwa
System Android pod względem infekcji to drugi Windows. Dlatego urządzenie mobilne powinno być równie dobrze zabezpieczone, co komputer stacjonarny.
Oprócz oczywistości takich jak antywirus, należy zwracać uwagę na uprawnienia instalowanych aplikacji, a programy, które nie są wykorzystywane, należy czym prędzej odinstalować. Nie ma żadnego powodu, aby narażać się na dodatkowy atak z wykorzystaniem socjotechniki.
Wszystkie aplikacje nawet w pozornie bezpiecznym sklepie Google Play powinny być traktowane z ograniczonym zaufaniem. Bez wyjątków.
Czy ten artykuł był pomocny?
Oceniono: 0 razy