木馬程式Marcher進化，假冒Android韌體更新、知名App程式及網頁

Marcher首度出現於2013年，鎖定Google Play Store，等使用者開啟Play Store App時展示覆疊的HTML網頁，以霸佔螢幕的方式強迫使用者輸入信用卡資訊。後來Marcher又演化到冒充金融機構騙取用戶的信用卡資訊，範圍遍及德、澳、法、美、英國國及土耳其。

最近Zscaler發現Marcher在多方面都演化出更高明的技巧。首先，原本Marcher只透過假冒的Amazon及Google Play Store app散佈，但本月研究人員發現Marcher假冒Android韌體更新程式。它在用戶裝置植入Firmware_Update.apk的程式，顯示裝置有漏洞，為防遭病毒入侵竊取個人資訊，要求他們儘快安裝升級程式。而在安裝時，Marcher會藉機要求使用者輸入管理員資訊。

另外，Marcher假冒的App對象也愈來愈大膽；原本它只假冒Google Play Store資料輸入頁，研究人員在最近的樣本中觀察到它會用戶使用知名App時，包括Viber、WhatsApp、Skype、Facebook Messenger、Gmail、Chrome、Intagram、Twitter和Line等等，也會跳出假冒的HTML網頁騙取用戶資料。

此外，研究人員也發現Marcher傳送竊取用戶及裝置資訊的C&C通訊，也從簡單的HTTP協定進階到加密的SSL。這隻程式還會判斷用戶是否為俄羅斯獨立國協，如果是就會停止活動，顯示這隻木馬控制中心可能來自本地區。同時作者開始使用base64編碼及字串取代功能來混淆程式以躲避追查，這也是前所未見。

沒關係！只要安裝「掃毒App」每天照三餐掃毒就可以了！