Os vamos a hablar de Marcher, un código malicioso en forma de troyano para dispositivos móviles Android que está capacitado para robar nuestras credenciales de las app más conocidas y utilizadas gracias a la actualización que acaba de recibir.
Gracias a esta, este software, en caso de que nos infecte el teléfono inteligente o tableta Android, actúa de tal forma que muestra al usuario pantallas de inicio falsas de varias y extendidas aplicaciones móviles con el fin de robar nuestras credenciales personales de acceso a las mismas.
Aunque ya lleva varios años entre nosotros, concretamente desde el pasado año 2013, en principio su funcionamiento se centraba en mostrar una pantalla falsa en la parte superior de la aplicación Google Play cada vez que el usuario la iniciaba. Tras ello se pedían los datos de la tarjeta de crédito, datos que el programa maligno recogía y enviaba a un servidor. Más tarde, en 2014, se añadió la capacidad de phishing para extraer las credenciales bancarias de la mayoría de las instituciones financieras. Sin embargo, en los últimos días varios expertos en seguridad afirman que se ha detectado una actualización sobre Marcher con la que se han añadido más elementos en su lista de objetivos.
Como os comentábamos con anterioridad, ahora este software malicioso se ha centrado en las aplicaciones más populares que se usan en los dispositivos Android en lugar de atacar tan solo a las herramientas bancarias. Por ello ahora ya puede recopilar las credenciales de inicio de sesión mostrando una pantalla de inicio de sesión falsa cada vez que el usuario inicia una de estas herramientas: WhatsApp, Viber, Skype, Facebook, Facebook Messenger, Instagram, Twitter, Gmail, UC Browser, Chrome o Play Store.
Como sucede en la mayoría del malware actual, los datos robados se envían a un servidor controlado por los ciberdelincuentes, pero si en el pasado estos datos se transmitían sin cifrar a través de HTTP, ahora este programa maligno los envía encriptados a través de un canal protegido con SSL. La infección se produce por medio de actualizaciones falsas que pueden llegarnos a través de las tiendas de aplicaciones no oficiales, aunque también se han detectado dominios no oficiales de Google para extender el programa maligno como una actualización del firmware Android falsa.
Por todo ello los expertos recomiendan no instalar aplicaciones de tiendas Android no oficiales, ya que a pesar de que la oficial ya está plagada de malware, las posibilidades de ser infectados son menores si descargamos las app desde esta.