Użytkownicy polskiej mobilnej e-bankowości na celowniku trojana Marcher

3 czerwca, 2016

Wymiana informacji pomiędzy badaczami malware przydaje się w najmniej spodziewanych momentach. W Polsce został zauważony trojan bankowy, który obrał sobie za cel użytkowników bankowości elektronicznej. Trojan Marcher po raz pierwszy został wykryty w 2013 roku. Jego pochodzenie przypisuje się autorowi z Rosji, kiedy to w roku 2013 był do sprzedania na jednym z rosyjskich forów undergroundowych. 

W pierwszym roku swojej aktywności, Marcher był wykorzystywany przez przestępców do kradzieży danych z kart kredytowych. Jego działanie było typowe i niczym nie odbiegało od współczesnych “standardów”. W dodatku, swoją szkodliwą aktywnością bardzo przypomina niedawne zagrożenie, o którym Związek Banków Polskich ostrzegał klientów polskich banków. 

W obu przypadkach, trojan pobierany jest albo jako złośliwa aplikacja ze sklepu Google Play lub z innego nieoficjalnego źródła, albo też jako aktualizacja jednego z zainstalowanych programów w telefonie użytkownika. Jeśli szkodnik zostanie pobrany i zainstalowany w systemie (żąda uprawnień administratora), a ofiara zechce skorzystać z aplikacji bankowej, trojan podstawi własne okno logowania dopasowując się do zainstalowanej aplikacji. A więc bardzo podobnie, jak podczas szkodliwej kampanii z udziałem trojana bankowego w maju.

Kolejnym podobieństwem jest to, że trojan Marcher dysponuje nie tylko zestawem nakładek na aplikacje polskich banków, ale także na aplikacje, za pomocą których ofiara zrealizuje płatność za bilet lotniczy. Co więcej, zadaniem trojana jest kradzież danych z karty płatniczej, w tym numeru karty, daty ważności, kodu CVV2 i innych informacji.

Tak było do roku 2016. Obecna wersja trojana Marcher posiada kilka modułów, dzięki którym trojan może przechwytywać wiadomości SMS, dzwonić w imieniu ofiary na numery premium, kraść historię przeglądanych stron, listę kontaktów i zainstalowanych aplikacji. Dane te zostają wysłane do cyberprzestępcy i mogą zostać wykorzystane do kolejnych ataków w poźniejszym czasie.W ostatnich dniach ofiarami trojana Marcher są użytkownicy z krajów:

  • 19% – Niemcy
  • 19% – Francja
  • 10% – Polska
  • 10% – Wielka Brytania
  • 7% – Turcja
  • 7% – USA
  • 6% – Australia
  • 5% – Hiszpania
  • 4% – Austria
  • 13% – pozostałe

Większość próbek jest pozytywnie wykrywana przez poszczególne silniki antywirusowe.trojan marcher

Wskazówki bezpieczeństwa

System Android pod względem infekcji to drugi Windows. Dlatego urządzenie mobilne powinno być równie dobrze zabezpieczone, co komputer stacjonarny.

Oprócz oczywistości takich jak antywirus, należy zwracać uwagę na uprawnienia instalowanych aplikacji, a programy, które nie są wykorzystywane, należy czym prędzej odinstalować. Nie ma żadnego powodu, aby narażać się na dodatkowy atak z wykorzystaniem socjotechniki.

Wszystkie aplikacje nawet w pozornie bezpiecznym sklepie Google Play powinny być traktowane z ograniczonym zaufaniem. Bez wyjątków.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]