Marcher木馬透過色情訊息散佈，Android用戶要當心!

jis2577

Marcher為一專門竊取機密資訊的木馬，駭客透過電子郵件或簡訊散佈色情網站連結，誘導Android用戶下載木馬程式，導引至Google Play官方網站上的X-VIDEO程式，再假冒該程式的Google Play付款頁面，要求使用者輸入信用卡資訊完成帳號設定，竊取用戶的機密資料。

網路安全防護業者Zscaler上周揭露了Marcher木馬程式新手法—透過色情網站誘導Android用戶下載惡意程式。
出現在3年前且不斷演進的Marcher為一機密資訊竊取木馬，它會偽造Google Play的付款頁面或金融程式的登入頁面，以取得使用者的機密資訊。3年來Marcher的目的沒變，但手法卻愈來愈縝密。
最新出現的Marcher變種會先透過含有色情網站連結的電子郵件或簡訊來吸引使用者，當使用者點選連結以造訪相關網站時，即會跳出一個要求使用者安裝Adobe Flash Player更新版的視窗，同時提醒使用者取消「自未知來源安裝程式」（install apps from unknown sources）的安全設定，繼之以執行程式功能為名要求使用者賦予裝置管理權限。
在安裝完成之後，Marcher即可連至由駭客掌控的C&C（Command & Control）伺服器，允許駭客檢視裝置上所執行的程式，駭客則會傳遞一則多媒體簡訊（MMS）到使用者裝置上，並引導使用者連至Google Play官方網站上的X-VIDEO程式。
在下載完免費的X-VIDEO程式後，Marcher會顯示一個偽造的Google Play付款頁面，並要求使用者輸入信用卡資訊以完成帳號設定。
事實上，X-VIDEO程式是由色情網站X-VIDEO所打造的行動程式，且為Google Play上的合法程式，下載次數已超過10萬，Google在接到Zscaler的通知之後還重新確認了X-VIDEO是個乾淨的程式。
Zscaler認為，要求使用者造訪Google Play與下載X-VIDEO很可能都是幌子，目的是為了合理化之後出現的假造Google Play付款頁面。
由於駭客可得知受駭裝置上所執行的程式，因此Marcher的其他變種也已透過同樣的感染手法（色情網站+Flash更新），來要求使用者於偽造的金融程式登入頁面上輸入帳號資訊。
目前已有十多個金融程式遭到Marcher鎖定，包括PayPal、澳洲的BankSA與NetBank、德國的DKB及ING Direct等。
Zscaler除了奉勸使用者不要啟用「自未知來源安裝程式」的功能之外，也建議使用者可以透過「設定」>「安全」>「裝置管理」來檢視是否有任何具備裝置管理權限並採用Adobe Flash圖示的程式，若發現了則可先關閉它的管理權限再將其移除。

zjh1990

没有攻不破的人。。