Розробники шкідливого ПО вдосконалили банківський Android-троян Marcher і додали в список його жертв клієнтів найбільших банків Великобританії.

За даними IBM X-Force, зловмисники використовують шкідливий з кінця 2013 року. Marcher рекламувався на російськомовних хакерських формах і спочатку не призначався для банків. Інфікувавши пристрій, поверх справжньої сторінки в Google Play троян відображав підроблену з метою виманити у користувачів дані кредитних карт. У 2014 році Marcher став використовуватися в атаках на клієнтів фінансових організацій в Німеччині. В даний час в список його жертв входять банки в Німеччині, Франції, Польщі, Туреччини, США, Австралії, Іспанії, Австрії, а з кінця минулого місяця і Великобританії.

Відображені Marcher підроблені сторінки для кожного банку в точності повторюють справжні. Як вважають в IBM X-Force, швидше за все, їх на замовлення за окрему плату розробили самі автори трояна. Подібні сторінки створюються досить просто, тому їх могли також розробити оператори Marcher або інші кіберзлочинці.

Згідно IBM X-Force, в більшості випадків (88%) шкідливий атакує користувачів банківських програм, але також може викрадати дані кредитних карт, відображаючи фальшиві сторінки бізнес-додатків (2%), платіжних сервісів (2%), а також додатків авіакомпаній ( 1%), торгових майданчиків (1%) і ін.

Примітно, що оператори трояна не чекають, поки користувач сам відкриє додаток, а обманним шляхом змушують його запустити програму. Для цього вони надсилають жертві фішингових SMS-повідомлення про те, що на її рахунок нібито були перераховані гроші. Заінтригований користувач відкриває додаток, щоб перевірити баланс, і потрапляє на фальшиву сторінку, де вводить дані своєї кредитної картки. Заволодівши інформацією, зловмисники перевіряють її достовірність, відправляючи на сервер банку. Якщо дані справжні, вони перенаправляються на підконтрольний злочинцям C & C-сервер.