Задать вопрос

    Поставщик решений в области сетевой безопасности и корпоративной связи

Весеннее обновление Android Marcher

Банковский троянец Android Marcher, который известен еще с 2013 года, снова был обнаружен лабораторией FortiGuard. По словам экспертов Fortinet, этот вредонос маскируется под различные приложения, чаще всего под игры и банковские приложения. Образцы этого семейства вредоносных программ обычно встречаются небольшого размера и содержат ссылки на фишинговые страницы популярных приложений. Получив права администратора и доступ ко всему, чему только можно, Android Marcher скрывается и начинает ждать. Когда открывается одно из многих целевых приложений, троян захватывает главный экран и отображает фишинговую страницу с форматом URL-адреса https://host/subfolder/njs2/?m=[id_of_app], а также внимательно следит за сообщениями, в надежде перехватить аутентификационные коды онлайн банкинга. Кроме того, троян пытается добыть информацию о банковской карте, отображая оверлеи поверх таких приложений, как Instagram, Play Store, Facebook, Skype, Viber, WhatsApp Messenger, Gmail и Amazon Shopping.

Новая функция антиэмуляции

Самое интересное, что при обнаружении антивируса, троянец просто не разрешает открыть приложение, перенаправляя пользователя на домашнюю страницу. А если антивирус, все-таки, обнаружил Android Marcher, то для дальнейших действий ему нужно разрешение пользователя, которое блокирует вредонос.

Проверка установленных AV-приложений

Однако, обновленная версия Android Marcher теперь не только проверяет устройство на наличие антивируса, но и также определяет, работает ли приложение на реальном устройстве или эмуляторе.

Код антиэмулятора

Такая проверка усложняет жизнь исследователям, т.к. изменить значения в эмуляторах не очень просто (обычно это требует модификации бинарного файла эмулятора), а обфускация (приведение исходного текста или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции) кода еще больше затрудняет обнаружение угрозы.

Что касается новых образцов Android Marcher, с которыми столкнулись специалисты Fortinet, уровень обфускации был увеличен еще больше, до такой степени, что даже вызовы методов замаскированы с помощью getDeclaredMethod() для предотвращения статического анализа. На рисунке 3 можно увидеть обезображенные строки, добавленные в виде комментариев.

Обфускация кода

Список адресов C&C

На момент написания статьи панель управления C&C уже была отключена. Тем не менее, SfyLabs смогли извлечь ботов и получить некую статистику. На диаграмме видно, что было заражено около 3700 устройств, главным образом во Франции и Германии.

Выводы

Не стоит слепо доверять рекламируемым приложениям, а особенно приложениям сторонних разработчиков. Даже если значок приложения выглядит вполне нормальным, это не означает, что за ним не скрывается какая-нибудь угроза. Прежде чем устанавливать приложение, нужно внимательно проверить все разрешения, которые оно запрашивает, и разрешать только те, которые строго необходимы.

Дополнительно:

IOC

Package name: etcqlnzwauf.hflivryhdnjb

Hash: 6f5835c921d5e1616e3d0a871c8d88e6bb8f3b67fb14cbc3ac345126b6b2365b

Package name: snqtu.cgbsbdjj

Hash: c20318ac7331110e13206cdea2e7e2d1a7f3b250004c256b49a83cc1aa02d233

Package name: gnpwibfapfjtdr.orvcpqiilijrbih

Hash: 9d1b630f017d1975aca8d0be51f8720918c0382e2edd58a9bfdb7243d5869f6d

Package name: fvxqpwsunfbvkesmd.xydmpw

Hash: 980a7ea0250aea85d7a986a9d2035d0a127e861da18107d10a50532643732f2d

ANTIVIRUS APPS CHECKED

com.symantec.mobilesecurity

com.avast.android.mobilesecurity

com.duapps.antivirus

com.nqmobile.antivirus20

com.netqin.antivirus

com.antivirus.tablet

com.qihoo.security

com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster

avg.antivirus

com.cleanmaster.boost

droiddudes.best.anitvirus

com.referplish.VirusRemovalForAndroid

com.drweb

com.trustlook.antivirus

com.antivirus

com.dianxinos.optimizer.duplay

com.avira.android

com.cleanmaster.mguard_x8

com.anhlt.antiviruspro

com.womboidsystems.antivirus.security.android

com.qihoo.security.lite

com.zrgiu.antivirus

com.cleanmaster.mguard

com.bitdefender.antivirus

com.ikarus.mobile.security

com.psafe.msuite

oem.antivirus

com.cleanmaster.security

com.sonyericsson.mtp.extension.factoryreset

com.eset.ems.gp

com.piriform.ccleaner

com.nqmobile.antivirus20.clarobr

com.kms.free

com.cleanmaster.sdk

com.eset.ems2.gp

BANKS APPS TARGETED

com.isis_papyrus.raiffeisen_pay_eyewdg, id=10

com.ykb.androidtablet, id=121

de.ing_diba.kontostand, id=67

de.consorsbank, id=14

com.bapro.movil, id=39

at.bawag.mbanking, id=1

com.ykb.android, id=122

de.dkb.portalapp, id=15

se.accumulate.me.core.androidclient.csb, id=54

com.intertech.mobilemoneytransfer.activity, id=116

com.garanti.cepbank, id=110

com.garanti.cepsubesi, id=112

com.rbs.mobile.android.natwest, id=24

de.postbank.finanzassistent, id=17

tr.com.sekerbilisim.mbank, id=118

com.mosync.app_Banco_Galicia, id=46

org.banelco, id=51

de.comdirect.android, id=12

pe.com.interbank.mobilebanking, id=53

com.santander.app, id=47

ar.com.santander.rio.mbanking, id=33

cl.santander.smartphone, id=35

mx.bancosantander.supermovil, id=50

com.tmob.denizbank, id=117

br.com.bb.android, id=34

com.vakifbank.mobile, id=119

com.grppl.android.shell.BOS, id=20

com.ykb.android.mobilonay, id=120

com.bancomer.mbanking, id=38

org.microemu.android.model.common.VTUserApplicationLINKMB, id=52

com.bcp.bank.bcp, id=42

com.starfinanz.smob.android.sfinanzstatus, id=11

com.ingbanktr.ingmobil, id=114

at.volksbank.volksbankmobile, id=4

com.akbank.softotp, id=107

com.tmobtech.halkbank, id=113

at.easybank.mbanking, id=2

uk.co.tsb.mobilebank, id=28

com.starfinanz.smob.android.sbanking, id=70

com.akbank.android.apps.akbank_direkt_tablet, id=124

com.rbs.mobile.android.rbs, id=25

com.finansbank.mobile.cepsube, id=109

com.rbs.mobile.android.ubr, id=26

com.htsu.hsbcpersonalbanking, id=23

com.bbva.nxt_argentina, id=40

com.bankaustria.android.olb, id=5

com.grupoavalav1.bancamovil, id=44

com.itau, id=45

de.commerzbanking.mobil, id=13

com.citibanamex.banamexmobile, id=43

com.akbank.android.apps.akbank_direkt, id=106

at.spardat.netbanking, id=3

co.com.bbva.mb, id=36

com.starfinanz.mobile.android.dkbpushtan, id=69

de.fiducia.smartphone.android.banking.vr, id=16

com.todo1.davivienda.mobileapp, id=48

com.barclays.android.barclaysmobilebanking, id=19

com.grppl.android.shell.CMBlloydsTSB73, id=21

se.accumulate.me.core.androidclient.occidente, id=55

com.bancodebogota.bancamovil, id=37

com.teb, id=108

biz.mobinex.android.apps.cep_sifrematik, id=111

com.pozitron.iscep, id=115

com.grppl.android.shell.halifax, id=22

com.ing.diba.mbbr2, id=9

com.db.mm.deutschebank, id=8

mobile.santander.de, id=18

com.ziraat.ziraatmobil, id=123

de.adesso.mobile.android.gadfints, id=68

uk.co.santander.santanderUK, id=27

com.todo1.mobile, id=49

com.bbva.nxt_peru, id=4

com.cic_prod.bad id=87

CC

hxxps:[/][/]easymanage.at[/]HISHEATWANT[/]

hxxps:[/][/]theponyclub.at[/]HISHEATWANT[/]

hxxps:[/][/]selltheworld.at[/]HISHEATWANT[/]

hxxps:[/][/]chucknorris.at[/]addproblemanima[/]

hxxps:[/][/]l33tchuck.at[/]addproblemanima[/]

hxxps:[/][/]chucksfactory.at[/]addproblemanima[/]

hxxps:[/][/]engesappies.at[/]addproblemanima[/]

hxxps:[/][/]android-service.at[/]iosys[/]

hxxps:[/][/]android-service.email[/]iosys[/]

hxxps:[/][/]android-service.info[/]iosys[/]

hxxps:[/][/]autohauss.at[/]iosys[/]

hxxps:[/][/]gooleplay.at[/]iosys[/]

hxxps:[/][/]internetservicees.at[/]iosys[/]

hxxps:[/][/]internetservicees.at[/]iosys[/]

hxxps:[/][/]internetservicees.be[/]iosys[/]

hxxps:[/][/]internetservicees.ch[/]iosys[/]

hxxps:[/][/]music-streams.at[/]iosys[/]

hxxps:[/][/]exofisty.at[/]jadafire[/]

hxxps:[/][/]fisttheexo.at[/]jadafire[/]

hxxps:[/][/]soldatenccarmy.at[/]jadafire[/]

hxxps:[/][/]soldatenccarmygoldenshower.at[/]jadafire[/]

hxxps:[/][/]soldatenccarmythegaynation.at[/]jadafire[/]

hxxps:[/][/]clouddream.at[/]hairyass[/]

hxxps:[/][/]tripletribe.at[/]hairyass[/]

hxxps:[[/][/]]beachmusiclisting.at[/]hairyass[/]