Wie man Marcher-Malware von Android entfernt
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist Marcher?
Marcher ist ein Banking-Trojaner, der auf Android-Geräte abzielt. Diese Malware ist multifunktional und ihr primäres Ziel ist es, Bank- und andere finanzbezogene Informationen zu erlangen. Marcher gibt es seit mindestens 2013 und hat sich im Laufe der Jahre verändert.
Überblick über die Marcher Malware
Bei der Installation fordert Marcher eine Vielzahl von Berechtigungen an - viele davon sind nicht Standard für Android-Anwendungen. Eine der außergewöhnlichsten ist die Anforderung, als Geräteadministrator zu agieren. Dadurch ist der Trojaner in der Lage, Systemeinstellungen zu ändern und zu kontrollieren.
Marcher sorgt für Persistenz, indem er bei jedem Neustart des Geräts automatisch gestartet wird. Er sammelt eine breite Palette relevanter Gerätedaten, darunter Akkustatistiken, Wi-Fi-Netzwerkdetails, genaue Geolokalisierungsinformationen usw. Das bösartige Programm kann sich auch mit Wi-Fi-Netzwerken verbinden und die Verbindung zu ihnen trennen.
Es kann verhindern, dass das Gerät in den Ruhezustand versetzt wird, es sperren und das Vibrieren unterbinden. Diese Fähigkeiten können auf verschiedene Weise genutzt werden, z. B. um Aktivitätsunterbrechungen zu vermeiden oder die Aufmerksamkeit des Benutzers zu erregen, Benutzerinteraktionen zu unterbinden und zu verhindern, dass Benachrichtigungen/Nachrichten/Alarme wahrgenommen werden.
Darüber hinaus kann Marcher auf externe Speicher (z. B. SD-Karten) zugreifen und die darin enthaltenen Inhalte lesen, ändern und löschen. Zu seinen kommunikationsbezogenen Funktionen gehören das Sammeln von Kontaktlisten, das Verwalten von SMS (d. h. Lesen, Schreiben/Erstellen, Senden) und das Tätigen von Anrufen (ohne Anzeige der Benutzeroberfläche und ohne Benutzerinteraktion).
Aufgrund dieser Fähigkeiten kann Marcher als Toll Fraud Malware eingesetzt werden, doch gibt es keine Bestätigung, dass er auf diese Weise eingesetzt wurde. Da der Trojaner Textnachrichten stehlen kann, könnte er OTPs (One-Time Passwords) und 2FA/MFA (Two/Multi-Factor Authentication) Codes erlangen - die üblicherweise verwendet werden, um Finanzdienstleistungen zu erleichtern.
Wie bereits in der Einleitung erwähnt, hat es Marcher auf Bank- und Finanzdaten abgesehen. Er beschafft sich diese Informationen, indem er echte Anwendungen mit Phishing-Bildschirmen überlagert, die das Original genau nachahmen (Overlay-Angriff).
Diese Überlagerungen können Anmelde- oder Überprüfungsseiten von Bankanwendungen imitieren. So wurde dieses Programm beispielsweise verwendet, um Bankanwendungen zu imitieren, die zur Eingabe von Anmeldeinformationen oder persönlichen Daten auffordern, sowie Seiten zur Überprüfung von Zahlungen (z. B. Google Play Store, der Kreditkartendaten abfragt).
Es ist erwähnenswert, dass Malware-Entwickler ihre Kreationen und Methoden häufig verbessern; daher könnten mögliche künftige Iterationen von Marcher zusätzliche oder andere Funktionen aufweisen.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Software wie Marcher auf Geräten zu schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | Marcher malware |
| Bedrohungstyp | Android-Malware, bösartige Anwendung, Banking-Trojaner, Trojaner. |
| Namen der Erkennungen | Avast-Mobile (APK:RepMalware [Trj]), ESET-NOD32 (mehrere Erkennungen), Fortinet (Android/Agent.FRJ!tr), Ikarus (Trojan-Dropper.AndroidOS.Agent), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Hqwar.df), vollständige Liste (VirusTotal) |
| Symptome | Das Gerät läuft langsam, Systemeinstellungen werden ohne Erlaubnis des Benutzers geändert, fragwürdige Anwendungen werden angezeigt, der Daten- und Akkuverbrauch steigt erheblich. |
| Verbreitungsmethoden | Gefälschte Updates, infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, betrügerische Anwendungen, betrügerische Websites. |
| Schaden | Gestohlene persönliche Informationen (private Nachrichten, Logins/Passwörter usw.), verringerte Geräteleistung, schnelles Entladen des Akkus, verringerte Internetgeschwindigkeit, große Datenverluste, finanzielle Verluste, gestohlene Identität (bösartige Apps könnten Kommunikations-Apps missbrauchen). |
| Malware-Entfernung (Android) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mobilgerät mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Beispiele für Android-spezifische Banking-Trojaner
Brokewell, Greenbean und TrickMo sind nur einige unserer Artikel über Android-spezifische Banking-Trojaner.
Malware ist ein Begriff, der Programme mit einer Vielzahl von Funktionen umfasst, die vom Diebstahl bestimmter Daten bis zur Sperrung von Geräten für Lösegeldzwecke reichen. Unabhängig davon, wie eine Schadsoftware funktioniert, bedroht ihr Vorhandensein die Integrität des Geräts und die Privatsphäre der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung entfernt werden.
Wie hat Marcher mein Gerät infiltriert?
Marcher ist bereits seit vielen Jahren im Umlauf und wurde mit verschiedenen Techniken verbreitet. Eine der bemerkenswerten früheren Kampagnen verbreitete diesen Trojaner über Spam-E-Mails, die Benutzer auf Phishing-Seiten leiteten.
Die Seiten waren als Bankwebseiten getarnt und forderten die Benutzer auf, ihre Anmeldedaten, Kreditkartendetails oder andere sensible Daten einzugeben. Nachdem die Benutzer der Aufforderung nachgekommen waren, wurden sie auf Seiten umgeleitet, auf denen sie aufgefordert wurden, eine neue Bank- oder Sicherheitsanwendung zu installieren, um sie so zum Herunterladen von Marcher zu verleiten.
Bei den jüngsten Kampagnen wurde die Web-Inject-Technik eingesetzt. Die Opfer rufen legitime Websites auf, die durch Einschleusen von Schadcode (in der Regel JavaScript) kompromittiert wurden. Im Allgemeinen kann das Ziel von Web-Injects von Datendiebstahl bis hin zur Infiltration von Malware reichen.
Bei diesen Kampagnen wurde ein Traffic Distribution Service (TDS) verwendet, um den Besucher anhand bestimmter Kriterien an einen anderen Ort umzuleiten. Das gefälschte Google Chrome-Browser-Update ist ein bekannter Köder, mit dem für Marcher geworben wird. Eine der beobachteten Kampagnen brachte Android-Nutzer dazu, Marcher, FrigidStealer für Mac-Nutzer und Lumma oder DeerStealer für Windows-Nutzer zu installieren. Beachten Sie, dass alle Arten von Schadprogrammen über diese Methode verbreitet werden können.
Es ist wichtig zu erwähnen, dass an dieser Web-Inject-Infrastruktur viele Bedrohungsakteure beteiligt sind, die nicht alle zusammenarbeiten. Daher ist es möglich, dass diese Kampagnen durch einen gewinnorientierten Dienst für Cyberkriminalität erleichtert werden.
Marcher könnte jedoch auch durch andere Taktiken verbreitet werden. Zu den gängigen Methoden gehören: Drive-by-Downloads (heimliche/trügerische Downloads), bösartige Anhänge/Links in Spam-Mails (z. B. E-Mails, SMS, PMs/DMs usw.), Malvertising, Online-Betrug, dubiose Download-Kanäle (z. B. Freeware- und kostenlose Filehosting-Websites, P2P-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), gefälschte Updater und illegale Software-Aktivierungs-Tools ("Cracks").
Darüber hinaus können sich einige bösartige Programme über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Malware vermeiden?
Vorsicht ist das A und O für die Sicherheit von Geräten und Benutzern. Recherchieren Sie daher immer nach Software, indem Sie Benutzer-/Expertenbewertungen prüfen, die erforderlichen Berechtigungen untersuchen und die Legitimität des Entwicklers überprüfen. Laden Sie nur von offiziellen und vertrauenswürdigen Quellen herunter. Aktivieren/Aktualisieren Sie Programme mit legitimen Funktionen/Werkzeugen, da die von Dritten bezogenen Programme Malware enthalten können.
Seien Sie außerdem beim Surfen vorsichtig, denn das Internet ist voll von betrügerischen und gefährlichen Inhalten. Gehen Sie eingehende E-Mails und andere Nachrichten mit Vorsicht an; öffnen Sie keine Anhänge oder Links in verdächtigen Mails.
Es ist wichtig, ein seriöses Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Mit der Sicherheitssoftware müssen regelmäßige System-Scans durchgeführt und erkannte Bedrohungen und Probleme entfernt werden.
Das Erscheinen eines gefälschten Chrome-Updates ködert die Verbreitung der Marcher-Malware (Bildquelle - Proofpoint-Blog):
Schnelles Menü:
- Einführung
- Wie löscht man den Browserverlauf im Chrome-Webbrowser?
- Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
- Wie setzt man den Chrome-Webbrowser zurück?
- Wie löscht man den Browserverlauf im Firefox-Webbrowser?
- Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
- Wie setzt man den Firefox-Webbrowser zurück?
- Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
- Wie bootet man das Android-Gerät im "abgesicherten Modus"?
- Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
- Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
- Wie kann ich die neuesten Software-Updates installieren?
- Wie setzt man das System auf den Standardzustand zurück?
- Wie kann ich Anwendungen mit Administratorrechten deaktivieren?
Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Einstellungen" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen und tippen Sie darauf.
Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Chrome-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:
Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.
Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:
Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".
Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".
[Zurück zum Inhaltsverzeichnis]
Setzen Sie den Firefox-Webbrowser zurück:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".
Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.
[Zurück zum Inhaltsverzeichnis]
Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Abgesicherten Modus" zu verwenden.
[Zurück zum Inhaltsverzeichnis]
Starten Sie das Android-Gerät im "abgesicherten Modus":
Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern deaktiviert. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).
Drücken Sie die "Power"-Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.
Tippen Sie auf "Akku" und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.
[Zurück zum Inhaltsverzeichnis]
Überprüfen Sie die Datennutzung verschiedener Anwendungen:
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.
Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.
[Zurück zum Inhaltsverzeichnis]
Installieren Sie die neuesten Software-Updates:
Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.
Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen Ihnen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.
[Zurück zum Inhaltsverzeichnis]
Setzen Sie das System auf den Standardzustand zurück:
Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.
Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;
[Zurück zum Inhaltsverzeichnis]
Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:
Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.
Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.
Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".
Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf diese und dann auf "DEAKTIVIEREN".
Häufig gestellte Fragen (FAQ)
Mein Android-Gerät ist mit Marcher-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten eine Formatierung.
Was sind die größten Probleme, die Marcher-Malware verursachen kann?
Die Gefahren, die von Malware ausgehen, hängen von ihren Fähigkeiten und den Zielen der Cyberkriminellen ab. Marcher ist ein multifunktionaler Trojaner, der es auf finanzbezogene Daten abgesehen hat. Im Allgemeinen können Infektionen dieser Art zu schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen.
Was ist der Zweck der Marcher-Malware?
Schadsoftware wird in erster Linie zu Gewinnzwecken eingesetzt. Schadsoftware kann jedoch auch zur Belustigung der Angreifer oder zur Verwirklichung ihrer persönlichen Rachegelüste, zur Störung von Prozessen (z. B. Websites, Unternehmen, Dienste usw.), für Hacktivismus und für politisch/geopolitisch motivierte Angriffe eingesetzt werden.
Wie hat die Marcher-Malware mein Android-Gerät infiltriert?
Marcher wurde über verschiedene Methoden verbreitet, darunter Spam-E-Mails, die Benutzer auf bösartige Websites umleiten, und Webinjektionskampagnen, bei denen der Trojaner unter dem Deckmantel von Browser-Updates in Geräte eingeschleust wird.
Zu den am weitesten verbreiteten Malware-Verbreitungstechniken gehören: Drive-by-Downloads, verdächtige Download-Quellen (z. B. Freeware- und Free-File-Hosting-Sites, App-Stores von Drittanbietern, P2P-Sharing-Netzwerke usw.), Spam-Mails, Online-Betrug, Malvertising, gefälschte Updates und illegale Aktivierungs-Tools ("Cracks"). Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger selbst verbreiten.
Kann Combo Cleaner mich vor Malware schützen?
Combo Cleaner ist in der Lage, fast alle bekannten Malware-Infektionen zu erkennen und zu entfernen. Denken Sie daran, dass sich High-End-Schadprogramme in der Regel tief im System verstecken - ein vollständiger Systemscan ist daher unerlässlich.
Ausgezeichnet!
▼ Diskussion einblenden