По данным IBM X-Force, злоумышленники используют вредонос с конца 2013 года. Marcher рекламировался на русскоязычных хакерских формах и поначалу не предназначался для банков. Инфицировав устройство, поверх настоящей страницы в Google Play троян отображал поддельную с целью выманить у пользователей данные кредитных карт.
В 2014 году Marcher стал использоваться в атаках на клиентов финансовых организаций в Германии. В настоящее время в список его жертв входят банки в Германии, Франции, Польши, Турции, США, Австралии, Испании, Австрии, а с конца прошлого месяца и Великобритании.
Отображаемые Marcher поддельные страницы для каждого банка в точности повторяют настоящие. Как считают в IBM X-Force, скорее всего, их на заказ за отдельную плату разработали сами авторы трояна. Подобные страницы создаются довольно просто, поэтому их могли также разработать операторы Marcher или другие киберпреступники.
Согласно IBM X-Force, в большинстве случаев (88%) вредонос атакует пользователей банковских программ, но также может похищать данные кредитных карт, отображая фальшивые страницы бизнес-приложений (2%), платежных сервисов (2%), а также приложений авиакомпаний (1%), торговых площадок (1%) и пр.
Примечательно, что операторы трояна не дожидаются, пока пользователь сам откроет приложение, а обманным путем заставляют его запустить программу. Для этого они присылают жертве фишинговое SMS-сообщение о том, что на ее счет якобы были перечислены деньги.
Заинтригованный пользователь открывает приложение, чтобы проверить баланс, и попадает на фальшивую страницу, где вводит данные своей кредитной карты. Завладев информацией, злоумышленники проверяют ее достоверность, отправляя на сервер банка. Если данные подлинные, они перенаправляются на подконтрольный преступникам C&C-сервер.
Источник:
internetua.com