Infiltrado como um aplicativo que vem sendo usado para roubar informações dos clientes do Google Play, o malware foi percebido pela primeira vez em 2013 e continua ativo. Com o passar do tempo, seus criadores têm se dedicado a melhorar os métodos de abordagem para enganar os usuários e fazê-los fornecer informações financeiras privadas. Atualmente, cada ataque afeta em média, 50 instituições em todo o mundo.
“Ele é tão efetivo, pois consegue escapar da autenticação de duas formas. Uma delas, é a interceptação de mensagens SMS enviadas para o telefone infectado. A outra, sobrepondo um conteúdo falso a outros aplicativos, fazendo com que os usuários forneçam inadvertidamente suas informações confidenciais”, explica Edgar Felipe Duarte Porras, analista de Malware da Easy Solutions. Por isso que, a seu ver, de todos os trojans para Android, ele é um dos mais potentes.
Segundo o analista, as campanhas do Trojan Marcher são conhecidas por usar a engenharia social para enganar os usuários e infectar seus dispositivos. “O truque mais comum é falsificar aplicativos bancários, jogos que ainda não foram lançados e atualizações de segurança ou flash”, observa. Ele pode se alojar até mesmo no Android 6, supostamente projetado para ser protegido desse tipo de sobreposição maliciosa.
Para uma proteção efetiva contra o Marcher é necessária uma estratégia proativa que considere sua mutabilidade. “Da mesma forma que sempre buscamos melhorar a nossa proteção contra a fraude, os fraudadores sempre procuram novas maneiras de criar ataques bem-sucedidos. Se um ataque se revelar ineficaz, os cyber criminosos tentarão novamente com uma estratégia mais forte”, destaca Edgar Porras.
Essa estratégia também deve considerar a integração de bibliotecas SDK no aplicativo, para permitir avaliações baseadas no risco do dispositivo e que detectem comportamentos maliciosos. Além disso, o analista da Easy Solutions sugere que se utilize um fornecedor que ofereça monitoramento contínuo de ameaças externas em tempo real e que seja capaz de neutralizar os servidores usados pelo Trojan.
“No caso de empresas, uma estratégia preventiva é ainda mais necessária, a fim de evitar aplicativos fraudulentos que falsificam a marca da empresa em lojas oficiais e não oficiais e que interfiram com outros aspectos da segurança. Além disso, os usuários devem estar atentos aos riscos que podem afetar dispositivos móveis”, completa.
Embora os Trojans Marcher sejam semelhantes, cada versão contém algumas alterações no código geral. Por exemplo, a ofuscação de código, o armazenamento de informações confidenciais e técnicas de proteção são sempre atualizadas, enquanto as principais funcionalidades permanecem as mesmas em todas as versões. De todos os módulos que ajudam os fraudadores a criar ataques bem-sucedidos, os mais importantes são a interceptação de SMS, execução de controle remoto, envio de comandos USSD, envio de SMS, bloqueio do dispositivo, habilita sons, implementação de SOCKS 5 e sobreposição de telas.
