Складний банківський троян отримав ще один спосіб обману користувачів мобільної операційної системи Android. Останній варіант шкідливого програми Marcher видає себе за оновлення Adobe Flash Player. Вперше це додаток було виявлено на російськомовних формах в кінці 2013 року, тоді програма видавала себе за оновлення безпеки для мобільної гри Super Mario і ряду інших додатків.

Нова версія трояна була виявлена ??фахівцями компанії Zscaler Threadlabz, тепер використовується нова техніка поширення. Зокрема, застосовується контент порнографічного зміст і посилання популярні мобільні ігри. Все закачування відбуваються зі сторонніх сайтів, а не з офіційного магазину Google Play Store.

При запуску користуємося повідомлення про те, що версія Flash Player застаріла і потрібне оновлення. Якщо повірити і натиснути на скачування поновлення, відбувається інфікування. Marcher навіть пропонує покрокове керівництво по відключенню налаштувань безпеки, що обмежують установку додатків магазином Google Play.

Після установки шкідлива програма ховається і прибирає свою іконку з меню, відбувається реєстрація пристрою на командному сервері. Збирається інформація про пристрій, включаючи список встановлених додатків.

Далі програма чекає запуску одного з ряду додатків, після чого відображає його підроблену сторінку для крадіжки логінів та паролів. До числа таких програм можуть ставитися банківські додатки, клієнти електронної пошти і т. Наприклад, є підроблені сторінки для додатків Citybank, TD Bank, PayPal, Gmail, Facebook, Walmart, Amazon, Western Union і інших. Список додатків прописаний в коді Marcher, але зовнішній вигляд підроблених сторінок можна міняти.

Високий рівень обфускаціі коду дозволяє в програмі ховатися від більшості антивірусів. Сканер VirusTotal показує всього 20% виявлення.