Троян в системе Android под названием Marcher был обновлён и теперь способен показывать поддельный экран ввода аутентификационных данных и за счёт этого красть логины и пароли из популярных приложений. Marcher появился в 2013 году и поначалу умел показывать экран ввода данных поверх запускаемых приложений магазина Google Play Store. Там пользователю предлагалось ввести данные кредитной карты, которые отправлялись на сервер.
В 2014 году появилась возможность сбора банковских данных, по большей части для банков США, Австралии, Германии, Франции и Турции.
Теперь компания Zscaler обнаружила обновлённую версию трояна, список целей которого был расширен. Теперь акцент делается на популярные на Android приложения, а не на банковские программы. Marcher показывает поддельные экраны ввода данных для WhatsApp, Viber, Skype, Facebook, Facebook Messenger, Instagram, Twitter, Gmail, Line, UC Browser, Chrome и Play Store. Данные отправляются на сервер по защищённому SSL каналу.
Marcher попадает на устройства через поддельные магазины приложений, также в Zscaler обнаружили использование не связанных с Google доменов, где троян выглядит как обновление безопасности Android. Ранее создатели Marcher встраивали его в обновления Adobe Flash Player или рассылали в спаме по СМС. Постоянная смена метода распространения свидетельствует об активной работе над трояном.