Biến thể mới của mã độc Marcher trên Android giả mạo cập nhật Flash Player

09:17 | 06/07/2017

Một biến thể mới của phần mềm độc hại ngân hàng - Marcher trên Android vừa được phát hiện, đã lây nhiễm bằng cách giả mạo cập nhật Adobe Flash Player, nhắm vào người dùng của 54 ứng dụng ngân hàng.

Theo công ty bảo mật đám mây Zscaler (Hoa Kỳ), phần mềm độc hại Marcher trên Android đang lây nhiễm bằng cách giả mạo bản cập nhật của Adobe Flash Player. Đây là phần mềm độc hại có khả năng đánh cắp thông tin ngân hàng trực tuyến bằng cách lừa người dùng điền thông tin vào các trang ứng dụng tài chính giả mạo. Trong payload của nó có chứa danh sách các ứng dụng và URL của các trang đăng nhập giả mạo trên 54 ứng dụng tài chính như: Chase, Citibank, PayPal, TC Bank, Wells Fargo,… và một số ứng dụng không thuộc nhóm tài chính như: Google Play, eBay.

Theo Zscaler, nguồn lây nhiễm chính của mã độc Marcher là từ các quảng cáo Popcash.net độc hại. Khi người dùng kích vào quảng cáo, một URL sẽ xuất hiện và người dùng nhận được thông báo nhắc cập nhật Flash Player. Khi tải xuống bản cập nhật giả mạo có mã độc hại, người dùng sẽ được yêu cầu vô hiệu hóa các tính năng bảo mật và cho phép ứng dụng bên thứ ba được cài đặt.



Sau khi cài đặt, phần mềm độc hại Marcher sẽ tự đăng ký vào một máy chủ C&C để gửi dữ liệu của thiết bị, danh sách các ứng dụng đã cài đặt và các thông tin đăng nhập mà người dùng đã nhập trong trang giả mạo. Các trang đăng nhập giả mạo sẽ xuất hiện khi người dùng mở các những ứng dụng thuộc danh sách mục tiêu của Marcher, người dùng sẽ bị lừa để điền thông tin đăng nhập vào các trang này. Để tránh bị nghi ngờ, mã độc Marcher sẽ đợi một vài ngày trước khi kích hoạt các trang đăng nhập giả mạo.

Theo Zscaler, những thay đổi thường xuyên của loại mã độc Marcher cho thấy, phần mềm độc hại này vẫn đang hoạt động mạnh mẽ và đe dọa đến các thiết bị Android.