木馬程式Marcher進化，假冒Android韌體更新、知名App程式及網

jis2577

研究人員發現Marcher的散佈手法進化，假冒Android韌體更新，或是假冒Viber、Gmail、Chrome、Intagram等知名程式，跳出網頁騙取資料，C&C通訊也從HTTP改為SSL加密，木馬也以base64編碼及字串取代功能躲避偵測。

今年稍早資安業者Zscaler揭露專門竊取資訊的木馬程式Marcher，如今該公司發現Marcher又再更進化，假冒成Android韌體更新程式，或是Facebook Messenger、Gmail等App網頁誘使用戶上鉤，而躲避追查的技術也更高。
Marcher首度出現於2013年，鎖定Google Play Store，等使用者開啟Play Store App時展示覆疊的HTML網頁，以霸佔螢幕的方式強迫使用者輸入信用卡資訊。後來Marcher又演化到冒充金融機構騙取用戶的信用卡資訊，範圍遍及德、澳、法、美、英國國及土耳其。
最近Zscaler發現Marcher在多方面都演化出更高明的技巧。首先，原本Marcher只透過假冒的Amazon及Google Play Store app散佈，但本月研究人員發現Marcher假冒Android韌體更新程式。它在用戶裝置植入Firmware_Update.apk的程式，顯示裝置有漏洞，為防遭病毒入侵竊取個人資訊，要求他們儘快安裝升級程式。而在安裝時，Marcher會藉機要求使用者輸入管理員資訊。
另外，Marcher假冒的App對象也愈來愈大膽；原本它只假冒Google Play Store資料輸入頁，研究人員在最近的樣本中觀察到它會用戶使用知名App時，包括Viber、WhatsApp、Skype、Facebook Messenger、Gmail、Chrome、Intagram、Twitter和Line等等，也會跳出假冒的HTML網頁騙取用戶資料。
此外，研究人員也發現Marcher傳送竊取用戶及裝置資訊的C&C通訊，也從簡單的HTTP協定進階到加密的SSL。這隻程式還會判斷用戶是否為俄羅斯獨立國協，如果是就會停止活動，顯示這隻木馬控制中心可能來自本地區。同時作者開始使用base64編碼及字串取代功能來混淆程式以躲避追查，這也是前所未見。
研究人員表示，Marcher種種進化使它成為Android裝置散佈範圍最廣的威脅。為免受害，呼籲使用者僅從受信賴的應用程式商店如Google Play下載App，也可從裝置上的「安全」設定取消勾選「不知名的來源」。

戈乾

   用苹果不刷机啊的表示无所谓 我不怕