一种新 Android 银行木马 Marcher 正在兴起，通过短信或彩信进行网络钓鱼攻击诱骗用户下载恶意软件，获取权限、收集数十家银行账户数据。重要的是，国内外二十多款杀毒软件拿它没办法，无法查杀卸载。

据 Securify 统计，在 11000 个受影响设备中近 5700 个属于德国移动设备、2200 个是法国移动设备。此外，大多数受感染的设备运行的是 Android 6.0.1 系统。

安全专家介绍，木马通过短信、彩信或者社交软件消息进行网络钓鱼，利用社会工程学诱骗用户点击下载木马，安装时应用程序将请求用户提供短信存储、访问以及设备管理员这样的高级权限。

木马通过两种方式发动攻击:

一种是拦截、发送带有验证的银行信息。

另外一种是“覆盖攻击”，当你使用银行 APP 时，木马会查询目标列表中是否存在该 APP，并有针对性的在屏幕上跳出对应银行的网络钓鱼窗口。黑客设计的钓鱼窗口十分逼真并要求用户输入银行凭证等信息。

许多有针对性的银行 APP

目前该银行木马主要针对国外数十家银行及社交应用 APP，银行如汇丰银行、PayPal、奥地利银行、苏格兰银行等，社交类如 Instagram、Play Store、 Facebook、Skype、Viber、WhatsApp、Gmail、Amazon 商城等详情可查看链接。

杀毒软件拿它没办法

此外，该木马有一个极大的“优势”，它可以躲避众多杀毒软件的查杀，让杀毒软件无法卸载它。众多杀毒软件受影响，如猎豹清理大师、 360 安全卫士、Norton、BitDefender、卡巴斯基、AVG 等二十多款。

它所利用的技术相当简单：查询设备是否运行杀毒软件，如果正在运行，恶意软件会强制手机返回主屏幕。即使杀毒软件检测到恶意软件，但要删除它必须要得到用户确认、授权，而一运行就返回主屏幕就导致用户无法点击确认，杀毒软件也就无法删除。

作者：M帅帅
来源：51CTO