Банковская троянская программа Marcher была модифицирована разработчиками. Теперь она атакует клиентов крупнейших британских банков.
Согласно информации IBM X-Force, киберпреступники пользуются данной вредоносной программой с конца 2013 года. Реклама Marcher, изначально не предназначавшейся для кибератак на банки, осуществлялась на русскоязычных хакерских форумах. После заражения устройства троянская программа демонстрировала фальшивую страницу Google Play, с помощью которой осуществлялся сбор данных банковских карт. Злоумышленники в 2014 году начали применять Marcher для атак на клиентов немецких банков. На данный момент Marcher атакует австралийские, австрийские, американские, испанские, немецкие, польские, турецкие, французские, а с конца мая и британские банки.
Фальшивые страницы, которые отображает Marcher для каждого банка, являются точными копиями настоящих. По мнению экспертов IBM X-Force, каждая подобная страница, вероятнее всего, была разработана на заказ самими создателями троянской программы для операторов.
По данным IBM X-Force, чаще всего вредоносная программа осуществляет атаки на пользователей банковских программ. Однако хищение информации кредитных карт производится и с помощью поддельных страниц бизнес-приложений, платежных сервисов, приложений авиакомпаний и торговых площадок.
Стоит отметить, что операторы троянской программы не ждут, пока пользователь сам запустит приложение. Злоумышленники путем обмана вынуждают его запустить программу. С этой целью они отправляют пользователю SMS-сообщение о том, что на его счет якобы были отправлены деньги. Для проверки баланса жертва открывает приложение, в результате чего осуществляется переадресация на поддельную страницу для ввода информации банковской карты. После того, как злоумышленники завладели целевыми данными, они осуществляют проверку ее достоверности путем их отправки на банковский сервер. При подтверждении подлинности информация передается на C&C-сервер, который находится под контролем киберпреступников.