Эксперты компании Securify опубликовали доклад, посвященный деятельности банковского Android-трояна Marcher, активного с конца 2013 года. Первые версии вредоноса использовались в фишинговых атаках, направленных на хищение данных о платежных картах. В марте 2014 года жертвами Marcher стали клиенты одного из банков в Германии.
Во второй половине 2016 года Marcher атаковал десятки организаций в различных странах, включая Великобританию, США, Австралию, Францию, Польшу и Испанию. Кроме того, операторы трояна начали распространять вредонос под видом популярных приложений, в том числе WhatsApp, Netflix и версии мобильной игры Super Mario Run для Android.
За последние полгода исследователи обнаружили 6 ботнетов, включающих в общей сложности 11049 мобильных устройств, инфицированных трояном Marcher. Более половины из них были расположены в Германии (51%), остальные во Франции (20%) и Великобритании (7%).
Троян Marcher проверяет, какие приложения работают на переднем плане, и при нахождении нужного выводит поверх его окна фальшивый экран с целью хищения учетных данных и информации кредитных карт. Кроме того, вредонос использует простую, но эффективную технику для уклонения от обнаружения популярными антивирусами. Как только Marcher обнаруживает работающий процесс какого-либо антивируса, троян вынуждает устройство вернуться на главный экран. Даже если антивирус обнаружит вредоносное ПО, пользователь не сможет дать разрешение на его удаление.
По оценкам экспертов, в скором будущем ущерб от деятельности Marcher может превысить убытки, причиненные известными банковскими троянами Dyre, Dridex и Gozi.