Android Marcher Trojaner: mobile Angriffswelle auf Bankdaten
Android Marcher: Zscaler beobachtet neue Angriffswelle der wandlungsfähigen mobilen Malware
Seit Anfang August beobachten die Analysten des Threatlabz Teams von Zscaler eine neue Welle an Aktivität des Android Marcher Trojaners – seit 2013 ein alter Bekannter – der nun mit einer neuen Masche auf Bankinformationen argloser Anwender abzielt.
Frühere Marcher-Varianten wurden als gefälschte Apps über den Amazon oder Google Play Store verbreitet. Die Sicherheitsexperten identifizierten auch gefälschte Flash-Updates, die über Pornoseiten ausgeliefert wurden (wie bereits auf dem ThreatLabs Blog beschrieben). Neuerdings gibt sich der Marcher als vermeintliches Update der Android Firmware aus. Die Payload ist bekannt als „Firmware_Update.apk“. Eine HTML-Seite mit der Malware informiert den Anwender, dass sein Gerät angeblich anfällig für Viren sei. Um sich gegen den Diebstahl personenbezogener Daten zu schützen, wird der Anwender zum Update seines mobilen Geräts aufgefordert. Zum Start seiner schädlichen Aktivitäten nach der Installation fragt Marcher nach Admin-Zugang an.
Marcher im Wandel
2013 trat der Schadcode erstmals in Erscheinung und präsentierte dem Nutzer eine gefälschte Zahlungsaufforderung des Google Play Stores, um an seine Kreditkartendaten zu gelangen – ein klassisches Scamming-Muster. Im März 2014 veränderte sich die Angriffsweise erstmals: In Deutschland gerieten Finanzinstitutionen ins Visier. Der Marcher durchsuchte das Gerät des Opfers und sendete eine Liste von installierten Apps an seinen Initiator. Sobald sich eine deutsche Bank-App in der Liste befand, fragte die Malware über eine gefälschte Seite nach den Benutzerdaten für genau diese App und leitete sie an einen Command-and-Control (C&C)-Server weiter. In den letzten beiden Jahren weitete Marcher seine Angriffe auf Finanzinstitute in anderen Ländern wie Frankreich, UK, der Türkei oder Australien aus.
Die Infektionswelle durch Marcher reißt nicht ab – durch die Zscaler-Cloud wird sichtbar, wie aktiv der Schädling sein Unwesen treibt und dabei einen stetigen Wandel vollzieht. Marcher zählt zu einem der am weitesten verbreiteten Schadcodes für Android-Geräte. Um eine Infektion des mobilen Endgerätes durch Android Marcher und andere Schadprogrammen zu vermeiden, empfiehlt das ThreatLabZ-Team, Apps nur aus vertrauenswürdigen Quellen zu beziehen. Zusätzliche Sicherheit bietet es, die Funktion zum Herunterladen aus unbekannten Quellen in den Sicherheitseinstellungen zu sperren.
Die gesamte Analyse der Malware und weitere Sicherheitshinweise finden Sie auf Zscalers Blog.