Come rimuovere il malware Marcher da Android
Scitto da Tomas Meskauskas il
Che tipo di malware è Marcher?
Marcher è un trojan bancario che colpisce i dispositivi Android. Questo malware è multifunzionale e il suo obiettivo principale è quello di acquisire informazioni bancarie e finanziarie. Marcher è in circolazione almeno dal 2013 e ha subito modifiche nel corso degli anni.
Panoramica del malware Marcher
Al momento dell'installazione, Marcher richiede una serie di autorizzazioni, molte delle quali non sono standard per le applicazioni Android. Una delle più straordinarie è la richiesta di operare come amministratore del dispositivo. In questo modo, il trojan è in grado di modificare e controllare le impostazioni del sistema.
Marcher garantisce la persistenza avviandosi automaticamente a ogni riavvio del dispositivo. Raccoglie un'ampia gamma di dati rilevanti del dispositivo, tra cui statistiche sulla batteria, dettagli sulla rete Wi-Fi, informazioni precise sulla geolocalizzazione e così via. Il programma dannoso può anche connettersi e disconnettersi dalle reti Wi-Fi.
Può impedire al dispositivo di andare a dormire, bloccarlo e impedirgli di vibrare. Queste capacità possono essere utilizzate in vari modi, ad esempio per evitare interruzioni dell'attività o per attirare l'attenzione dell'utente, per interrompere l'interazione con l'utente e per impedire che notifiche/messaggi/avvisi vengano notati.
Inoltre, Marcher è in grado di accedere a memorie esterne (ad esempio, schede SD) e di leggere, modificare e cancellare i contenuti in esse contenuti. Le sue funzionalità legate alla comunicazione includono la raccolta di elenchi di contatti, la gestione degli SMS (cioè lettura, scrittura/creazione, invio) e l'effettuazione di telefonate (senza visualizzare l'interfaccia e senza richiedere l'interazione dell'utente).
Queste capacità consentono a Marcher di essere utilizzato come Toll Fraud malware, ma non vi è alcuna conferma che sia stato impiegato in questo modo. Poiché il trojan è in grado di rubare messaggi di testo, potrebbe ottenere codici OTP (One-Time Password) e 2FA/MFA (Two/Multi-Factor Authentication), comunemente utilizzati per facilitare i servizi finanziari.
Come accennato nell'introduzione, Marcher mira ai dati bancari e finanziari. Acquisisce queste informazioni sovrapponendo alle app autentiche schermate di phishing che imitano fedelmente l'originale (attacco overlay).
Queste sovrapposizioni possono imitare le pagine di accesso o di verifica delle applicazioni bancarie. Ad esempio, questo programma è stato utilizzato per impersonare applicazioni bancarie che chiedono di fornire credenziali di accesso o dati personali e pagine di verifica dei pagamenti (ad esempio, Google Play Store che richiede i dati della carta di credito).
Vale la pena ricordare che gli sviluppatori di malware spesso migliorano le loro creazioni e i loro metodi; pertanto, eventuali future iterazioni di Marcher potrebbero possedere funzionalità aggiuntive o diverse.
In sintesi, la presenza di software come Marcher sui dispositivi può causare gravi problemi di privacy, perdite finanziarie e furti di identità.
| Nome | Marcher malware |
| Tipo di minaccia | Malware Android, applicazione dannosa, trojan bancario, trojan. |
| Nomi dei rilevamenti | Avast-Mobile (APK:RepMalware [Trj]), ESET-NOD32 (Rilevamenti multipli), Fortinet (Android/Agent.FRJ!tr), Ikarus (Trojan-Dropper.AndroidOS.Agent), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar.df), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza l'autorizzazione dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo. |
| Metodi di distribuzione | Aggiornamenti falsi, allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffa. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di trojan bancari specifici per Android
Brokewell, Greenbean e TrickMo sono solo un paio dei nostri articoli sui trojan bancari incentrati su Android.
Malware è un termine che comprende programmi con un'ampia varietà di funzionalità, che vanno dal furto di dati specifici al blocco dei dispositivi a scopo di riscatto. Tuttavia, indipendentemente dal modo in cui opera un software dannoso, la sua presenza minaccia l'integrità del dispositivo e la privacy dell'utente. Pertanto, tutte le minacce devono essere rimosse immediatamente dopo il loro rilevamento.
Come si è infiltrato Marcher nel mio dispositivo?
Marcher è in circolazione da molti anni ed è stato diffuso con varie tecniche. Una delle campagne passate degne di nota ha fatto proliferare questo trojan attraverso e-mail di spam che indirizzavano gli utenti a siti di phishing.
Le pagine erano camuffate da siti bancari e richiedevano le credenziali di accesso al conto, i dettagli della carta di credito o altri dati sensibili. Una volta che l'utente si adeguava, veniva reindirizzato a pagine che lo esortavano a installare una nuova banca o un'applicazione di sicurezza bancaria, attirandolo così a scaricare Marcher.
Le ultime campagne hanno utilizzato la tecnica del Web Inject. Per spiegarla, le vittime accedono a siti legittimi che sono stati compromessi con l'iniezione di codice dannoso (in genere JavaScript). In genere, nelle iniezioni sul Web, l'obiettivo può variare dal furto di dati all'infiltrazione di malware.
In queste campagne, è stato utilizzato un servizio di distribuzione del traffico (TDS) per reindirizzare il visitatore altrove in base a criteri specifici. Il falso aggiornamento del browser Google Chrome è un'esca nota per promuovere Marcher. Una delle campagne osservate ha spinto gli utenti Android a installare Marcher, FrigidStealer per gli utenti Mac e Lumma o DeerStealer per gli utenti Windows. Si noti che tutti i tipi di programmi dannosi possono essere distribuiti attraverso questo metodo.
È opportuno ricordare che questa infrastruttura di iniezioni sul Web coinvolge molti attori delle minacce, non tutti collaboranti. Pertanto, è possibile che queste campagne siano facilitate da un servizio di criminalità informatica a scopo di lucro.
Tuttavia, Marcher potrebbe essere diffuso affidandosi ad altre tattiche. I metodi più diffusi includono: download drive-by (furtivi/ingannevoli), allegati/link dannosi nella posta spam (ad esempio, e-mail, SMS, PM/DM, ecc.), malvertising, truffe online, canali di download dubbi (ad esempio, siti di file-hosting freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), falsi programmi di aggiornamento e strumenti di attivazione software illegali ("crack").
Inoltre, alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
Come evitare l'installazione di malware?
La cautela è fondamentale per la sicurezza del dispositivo/utente. Pertanto, è necessario effettuare sempre ricerche sul software controllando le recensioni degli utenti/esperti, ispezionando le autorizzazioni necessarie e verificando la legittimità dello sviluppatore. Scaricare solo da fonti ufficiali e affidabili. Attivare/aggiornare i programmi utilizzando funzioni/strumenti legittimi, poiché quelli ottenuti da terzi possono contenere malware.
Inoltre, fate attenzione durante la navigazione, poiché Internet è piena di contenuti ingannevoli e pericolosi. Affrontate con cautela le e-mail e gli altri messaggi in arrivo; non aprite gli allegati o i link presenti nelle e-mail sospette.
È essenziale installare e tenere aggiornato un antivirus affidabile. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere le minacce e i problemi rilevati.
L'aspetto di un falso aggiornamento di Chrome attira la proliferazione del malware Marcher (fonte immagine - blog Proofpoint):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Ripristinare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware Marcher, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware Marcher può causare?
I pericoli posti da un malware dipendono dalle sue capacità e dagli obiettivi dei cybercriminali. Marcher è un trojan multifunzionale che prende di mira i dati relativi alla finanza. In genere, infezioni di questo tipo possono portare a gravi problemi di privacy, perdite finanziarie e furti di identità.
Qual è lo scopo del malware Marcher?
Il malware viene utilizzato principalmente a scopo di lucro. Tuttavia, il software dannoso può essere utilizzato per divertire gli aggressori o realizzare le loro vendette personali, interrompere i processi (ad esempio, siti, aziende, servizi, ecc.), impegnarsi nell'hacktivismo e lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware Marcher nel mio dispositivo Android?
Marcher è stato diffuso con vari metodi, tra cui e-mail di spam che reindirizzano gli utenti a siti dannosi e campagne di iniezioni sul Web in cui il trojan si infiltra nei dispositivi con il pretesto di aggiornamenti del browser.
In generale, le tecniche di distribuzione del malware più diffuse includono: download drive-by, fonti di download sospette (ad esempio, siti di hosting di file freeware e gratuiti, app store di terze parti, reti di condivisione P2P, ecc.), posta indesiderata, truffe online, malvertising, falsi aggiornamenti e strumenti di attivazione illegali ("crack"). Alcuni programmi dannosi possono auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è in grado di rilevare e rimuovere quasi tutte le infezioni da malware conosciute. Tenete presente che, poiché i programmi dannosi di alto livello si nascondono in genere nelle profondità dei sistemi, l'esecuzione di una scansione completa del sistema è fondamentale.
Eccezionale!
▼ Mostra Discussione