新闻链接：http://www.seehand.com/news/1469.html
新闻时间：2016-3-30
新闻正文：信息安全世界里，木马更新换代的速度比好莱坞演员陨落的节奏还快，游行者木马Marcher Trojan就是一个例子。根据安全公司Zscaler的一项报告，已有三年历史的Marcher已经发展出了专门针对浏览色情网站的安卓用户的新变种。

  　上个月，研究人员发现了Marcher新发动的一轮活动，攻击者试图以推广色情网站的方式在安卓设备中安装恶意软件，进而下载被恶意软件感染的有效负载，例如Adobe Flash Installer Package安装包。

　 “我们已经检测到超过50个遭受这一攻击的有效负载，”Zscaler在其于周二的公告中写道。Zscaler告诉Threatpost网站，它还掌握了一些通过重新定向到popcash[.]net 广告网络而安装的Marcher恶意软件。

  Zscaler 表示，Marcher已经演化成为一个复杂的安卓恶意软件，充分掌握了用户设备的应用文件。“这是我们见到的第一轮结合了色情诱饵和“假冒” Adobe Flash Player更新的Marcher变种。”

      尽管Marcher攻击的方式是新的，但它的目标却从未变过。“这个恶意软件还一如既往——它展示一个虚假的Google Play商店支付页面，窃取用户的财务信息。”Zscaler写道。

　　几年来，Marcher木马一直利用安卓设备上的虚假Google Play和银行登录页面针对潜在受害者。该木马通过第三方APP网站、短信发送的恶意链接、博客地毯式攻击以及使用URLs将流量引入布好陷阱的安卓APP托管主机的社交媒体网站进行传播。

　　研究人员报道说，受害目标会受到色情主题邮件或含有恶意网站链接的短信息。这些网站通过弹出式消息向游客推广，诱导下载Adobe Flash Player更新。为了对受害者增加可信度，攻击者会使用“AdobeFlashPlayer.apk.”这样的名称。当用户试图安装“AdobeFlashPlayer.apk.”时，他们会被要求勾选安卓安全设置下“从未知来源安装软件”的选项。随即恶意软件就会向受害者要求获取管理权限，Zscaler说道。

　　Zscaler报道称，感染成功以后，Marcher木马链接安卓设备与攻击者指令并控制服务器，允许攻击者浏览已经在设备中运行的应用程序列表。另外，研究人员表示，“我们也观测到一个独特的方式，即（指令和控制）服务器发送回复，在被感染设备上生成一个多媒体信息，显示‘您已收到一条多媒体信息’并要求用户访问‘mms-service[.]info/mms’网站以查看该信息。”

　　访问该链接的受害者随即被重定向至Google官方的Google Play商店，并被诱导安装免费X-Video多媒体APP。该APP的最近访问用户留言大部分是负面消息，抱怨APP在安装前就闪退，或者安装后根本无法登陆。Zscaler表示，这个X-Video并不是恶意软件，当安全研究人员向Google安卓团队提示这一APP的危险性时发现，它拥有Google的检疫合格证书。

　　下载这一免费X-Video 软件后，Marcher木马随即展示一个虚假Google Play支付界面，要求用户更新它们的Google Play信用卡信息。

　　研究人员表示，要确定究竟有多少Marcher受害者是不可能的。但是，他们也指出，Google Play上X-Video软件的下载数据显示，它已被下载至少10万次。

　　Zscaler称，访问Google Play和下载X-video app并不是攻击的必须步骤。任何导致打开Google Play商店APP的活动都将触发虚假支付界面的出现。

　　“恶意软件作者推动重定向至官方Google Play商店和X-Video APP，这是Marcher的一个新策略。”Zscaler告诉Threatpost网站。研究人员分析认为，这一重定向很有可能强迫Google Play商店APP的登录。

　　据该公司表示，与Marcher色情攻击有关的新型变种向安卓用户展示虚假的网上银行登录页面，根据受害者已经安装在其安卓设备中的软件。

“虚假银行登录界面仅在设备中已经安装了相关网上银行app的情况下出现。”Zscaler说道。

　　研究人员表示，这是前所未有的。“Marcher新增了大量金融机构的支持，并且将只针对那种安装了可以大幅增加攻击成功几率的app的受感染移动设备。”

　　Zscaler指出，感染了Marcher的症状主要包括突然出现虚假的Google支付页面，不输入你的信用卡信息就不能登录Google Play商店。

　　另外，Zscaler建议那些想要检查自己设备是否已经感染的用户进入设置-安全-设备管理。用户应当寻找一个正在运行的应用，名为“Device Admin”，并且带有Adobe Flash player标志。

　　“如果找到了，你可以点击这一app并停用它，以收回管理权限。然后yoghurt可以进入设置-应用管理- AdobeFlashPlayer-卸载，卸载这一恶意软件。”Zscaler表示。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课