El troyano de Android conocido como Marcher ha recibido una actualización que le permite mostrar pantallas de inicio de sesión falsas para así robar las credenciales de varias apps de Android muy populares. Este Android Marcher apareció en el año 2013 en escena y al comienzo tenía la capacidad de mostrar una pantalla falsa por encima de la app de la Google Play Store cuando el usuario iniciaba la app. En esta pantalla se pedía al usuario que introdujera sus datos de tarjeta de crédito, que el malware recogía y enviaba a otro servidor. A finales de 2014 se le añadió la función de hacer phishing para conseguir credenciales bancarias, la mayoría de instituciones de países como Estados Unidos, Alemania, Francia, Turquía y otros.
La actualización de Marcher hace que sea más peligroso aún
La empresa de seguridad Zscaler ha detectado que el troyano se ha actualizado en las últimas semanas, y ha añadido más elementos a su listado de víctimas. Esta vez, los creadores del troyano se han centrado en apps de Android populares en lugar de apps bancarias. Marcher ahora recoge también credenciales de inicio de sesión al mostrar una página falsa para hacer login cuando el usuario abre alguna de estas apps populares, como pueden ser WhatsApp, Viber, Facebook Messenger, Instagram, Twitter, Gmail, Line, Chrome o la misma Play Store también.
Como casi todo el malware reciente, los datos robados se envían a un servidor online. Desde Zscaler han detectado también que ha habido infecciones a través de dominios no oficiales de Google, que ayudan a expandir el malware como una actualización de seguridad del firmware de Android. En el pasado, los creadores de Marcher usaban el troyano como una actualización de Adobe Flash Player y a través de SMS y spam de correo electrónico.
Se recomienda que los usuarios tengan mucho cuidado a la hora de instalar apps desde fuera de la Play Store y lo hagan solo desde sitios seguros, incluso si la misma Play Store está repleta de malware que Google va eliminando poco a poco.
