Сложный банковский троян получил очередной метод обмана пользователей мобильной операционной системы Android. Последний вариант вредоносного приложения Marcher выдаёт себя за обновление Adobe Flash Player. Впервые это приложение было обнаружено на русскоязычных форумах в конце 2013 года, тогда программа выдавала себя за обновление безопасности для мобильной игры Super Mario и ряда других приложений.
Новая версия трояна была обнаружена специалистами компании Zscaler Threadlabz, теперь используется новая техника распространения. В частности, применяется контент порнографического содержания и ссылки на популярные мобильные игры. Все закачки происходят со сторонних сайтов, а не из официального магазина Google Play Store.
При запуске появляется сообщение о том, что версия Flash Player устарела и требуется обновление. Если поверить и нажать на скачивание обновления, происходит инфицирование. Marcher даже предлагает пошаговое руководство по отключению настроек безопасности, ограничивающих установку приложений магазином Google Play.
После установки вредоносная программа скрывается и убирает свою иконку из меню, происходит регистрация устройства на командном сервере. Собирается информация об устройстве, включая список установленных приложений.
Дальше программа ждёт запуска одного из ряда приложений, после чего отображает его поддельную страницу для кражи логинов и паролей. К числу таких программ могут относиться банковские приложения, клиенты электронной почты и т.д. Например, есть поддельные страницы для приложений Citybank, TD Bank, PayPal, Gmail, Facebook, Walmart, Amazon, Western Union и других. Список приложений прописан в коде Marcher, но внешний вид поддельных страниц можно менять.
Высокий уровень обфускации кода позволяет в программе скрываться от большинства антивирусов. Сканер VirusTotal показывает всего 20% обнаружения.