Android-троян Marcher крадёт данные Facebook, WhatsApp, Skype, Gmail

Троян в системе Android под названием Marcher был обновлён и теперь способен показывать поддельный экран ввода аутентификационных данных и за счёт этого красть логины и пароли из популярных приложений. Marcher появился в 2013 году и поначалу умел показывать экран ввода данных поверх запускаемых приложений магазина Google Play Store. Там пользователю предлагалось ввести данные кредитной карты, которые отправлялись на сервер.

В 2014 году появилась возможность сбора банковских данных, по большей части для банков США, Австралии, Германии, Франции и Турции.

Теперь компания Zscaler обнаружила обновлённую версию трояна, список целей которого был расширен. Теперь акцент делается на популярные на Android приложения, а не на банковские программы. Marcher показывает поддельные экраны ввода данных для WhatsApp, Viber, Skype, Facebook, Facebook Messenger, Instagram, Twitter, Gmail, Line, UC Browser, Chrome и Play Store. Данные отправляются на сервер по защищённому SSL каналу.

Marcher попадает на устройства через поддельные магазины приложений, также в Zscaler обнаружили использование не связанных с Google доменов, где троян выглядит как обновление безопасности Android. Ранее создатели Marcher встраивали его в обновления Adobe Flash Player или рассылали в спаме по СМС. Постоянная смена метода распространения свидетельствует об активной работе над трояном.