Marcher

¿Qué es?

Marcher, también conocido como ExoBot, es un malware de tipo troyano bancario que se enfoca en infectar dispositivos Android para robar credenciales financieras y datos personales de los usuarios. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida. De hecho, en su momento, formó parte de la infraestructura global de botnets múltiples de cibercrimen llamada Avalanche (ya desmantelada).

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Superpone pantallas falsas de inicio de sesión sobre aplicaciones bancarias y de pago para capturar credenciales de acceso de los usuarios.
• Sustituye la interfaz de aplicaciones legítimas para robar datos financieros y personales.
• Roba datos sensibles, como números de tarjetas de crédito, credenciales de banca en línea, nombres de usuario y contraseñas.
• Accede y lee mensajes SMS para robar códigos de autenticación de dos factores (2FA/OTP).
• Se comunica con servidores de mando y control (C2) para enviar la información robada y recibir nuevas instrucciones.
• Descarga y ejecuta payloads adicionales desde el servidor de los atacantes para mejorar sus funcionalidades.
• Solicita permisos de administrador para dificultar su eliminación y aumentar su control.
• Utiliza ventanas emergentes falsas del sistema, como supuestas alertas de "actualización Flash Player", para engañar a los usuarios e instalarse.
• Se oculta usando técnicas de ofuscación y se hace pasar por aplicaciones populares como Flash Player, WhatsApp o Google Play.
• Puede usarse como parte de campañas más amplias de spear-phishing o fraude financiero organizado.
• Combina técnicas de phishing con capacidades de captura de pulsaciones del teclado (keylogging) y exfiltración de datos.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Android (sobre todo, versiones antiguas desactualizadas y aquellas que permiten la instalación de aplicaciones de fuera de Google Play, donde sus APK son de fuentes desconocidas).

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la descarga de aplicaciones maliciosas desde fuentes no oficiales o tiendas de aplicaciones de terceros, a través de campañas de phishing que inducen al usuario a descargar e instalar aplicaciones que aparentan ser legítimas, a través de redirecciones desde sitios web comprometidos que instalan el APK malicioso, a través de mensajes SMS con enlaces maliciosos y a través de publicidad engañosa (malvertising) en navegadores móviles que simula actualizaciones urgentes.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners de Android.

Más información

• New Android Marcher Variant Posing as Adobe Flash Player Update (Zscaler)
• Android Marcher: Continuously Evolving Mobile Malware (Zscaler)
• Spring Parade for Refreshed Android Marcher (Fortinet)
• Marcher (Cert-Bund)
• Exobot (Mitre ATT&CK)
• Trojan-Banker.AndroidOS.Marcher (Kaspersky)
• "Avalanche" botnet infrastructure (CERT-Bund)
• Avalanche (crimeware-as-a-service infrastructure) (CISA)
• Marcher (Malpedia)