Marcher هزاران سیستم اندرویدی را آلوده کرد

تحلیل تروجانِ بانکی اندرویدی با نام Marcher، نشان می‌دهد، بات‌نت‌های‌ این بدافزار، تنها در یک مورد، ۱۱ هزار دستگاه را آلوده کرده و اطلاعات پرداخت موجود را سرقت کرده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تروجان Marcher از سال ۲۰۱۳ ظاهر شده و تلاش داشت از طریق وب‌سایت‌های فیشینگ گوگل‌پلی، کاربران را وادار به افشای اطلاعات کارت‌های بانکی‌شان بکند. از سال ۲۰۱۴ این بدافزار شروع به هدف قرار دادن بانک‌هایی در آلمان کرد و تا تابستان سال ۲۰۱۶ میلادی، بیش از ۶۰ سازمان در آمریکا، انگلستان، استرالیا، فرانسه، لهستان، ترکیه و اسپانیا را مورد حمله قرار داده‌بود.

این بدافزار در قالب برنامه‌های قانونی و معروف بسیاری از جمله واتس‌اپ، نت‌فلیکس و بازی سوپرماریو توزیع شده‌است. محققان امنیتی در طول ۶ ماه گذشته ۹ بات‌نت مبتنی بر تروجان Marcher را شناسایی کرده‌اند که در هریک از این بات‌نت‌ها ماژول‌های جدیدی مشاهده شده و با استفاده از ایجادکننده این بدافزار به تزریقِ وب می‌پردازد.

یکی از این بات‌نت‌ها که مشتریان بانک‌هایی در آلمان، استرالیا و فرانسه را هدف قرار داده‌بود، نزدیک به ۱۱ هزار دستگاه را آلوده کرده که ۵۷۰۰ مورد از آن‌ها در آلمان و ۲۲۰۰ دستگاه آلوده در استرالیا قرار دارند. بر روی کارگزار دستور و کنترلِ مهاجمان نزدیک به ۱۳۰۰ شماره کارت پرداخت و سایر اطلاعات کارت‌های اعتباری وجود دارد.

با بررسی‌های انجام‌شده روی کارگزار دستور و کنترل، محققان متوجه شدند تعداد زیادی از دستگاه‌های آلوده روی اندروید ۶.۰.۱ اجرا می‌شوند ولی در فهرست قربانیان بیش از ۱۰۰ دستگاه با سامانه عامل اندروید ۷.۰ را نیز می‌توان مشاهده کرد.

تروجانِ Marcher تمامی برنامه‌های کاربردی کاربر را زیر نظر دارد و زمانی‌که یک برنامه را شناسایی کرد، یک صفحه‌ی روگستر را نمایش داده و کاربر را وادار می‌کند اطلاعات حساس خود را وارد کند.

محققان امنیتی توضیح دادند: «بدافزار Marcher از معدود تروجان‌های بانکی اندروید است که از کتابخانه AndroidProcesses استفاده می‌کند که بدافزار را قادر می‌سازد نام بسته‌های اندرویدی که در برنامه مورد استفاده قرار می‌گیرد را نشان دهد. دلیل استفاده از این کتابخانه نمایش اطلاعات برنامه‌ها در اندروید ۶ است.»

بدافزار Marcher برای اینکه توسط محصولات امنیتی حذف نشود، برنامه‌های ضدبدافزار را مسدود می‌کند. ۷ ماه قبل، محققان امنیتی اعلام کردند این تروجانِ بانکی قابلیت مسدود کردن ۸ ضدبدافزار را دارد ولی در حال حاضر بررسی‌ها نشان می‌دهد این بدافزار نزدیک به ۱۲ محصول امنیتی را هدف قرار داده‌است.