Fraiben

Специалисты «Лаборатории Касперского» рассказали о малвари для банкоматов, которая носит название Cutlet Maker. Изначально вредонос рекламировался и распространялся через даркмаркет AlphaBay, который минувшим летом закрыли правоохранительные органы. Теперь операторы малвари запустили собственный onion-сайт ATMjackpot, где продолжают продавать свой «продукт», чьи спецификации незначительно изменились за последние месяцы.

Реклама вредоноса, которую можно увидеть на иллюстрациях ниже, гласит, что Cutlet Maker может использоваться для атак на различные модели банкоматов, а взаимодействие с пользователями и их данными не потребуется. Зато нужен будет физический доступ к машине, так как атака предполагает физическое «вскрытие» и подключение к USB-порту банкомата. Чтобы контролировать выдачу денег, малварь использует неназванную проприетарную библиотеку.

К своим сообщениям злоумышленники приложили также и видеодемонстрацию. Журналисты Bleeping computer загрузили эти ролики на YouTube, так что ниже можно посмотреть на фактический взлом банкоматов.

https://www.youtube.com/embed/8aXdirpnZVg?wmode=transparent

https://www.youtube.com/embed/tmx-2TGi-VQ?wmode=transparent

В настоящее время Cutlet Maker предлагается к покупке за $5000. По данным «Лаборатории Касперского», за эти деньги злоумышленники продают набор, состоящий из Cutlet Maker (основной элемент тулкита, непосредственно малварь), приложения Stimulator (собирает данные о содержимом кассет в атакуемом банкомате), а также c0decalc (простое приложение, генерирующее специальные коды для вредоноса). Исследователи полагают, что инструменты могли быть разработаны разными людьми.

Представители Bleeping Сomputer пишут, что новая версия Cutlet Maker, продающаяся на ATMjackpot, уже не использует c0decalc. Генерация кодов осуществляется непосредственно через сайт злоумышленников.

В своем отчете специалисты «Лаборатории Касперского» сообщают, что Kaspersky Embedded Systems Security защищает от Cutlet Maker. Однако на прошлой неделе аналитики компании Embedi представители собственное исследование (PDF), в котором описан способ обхода KESS.

Источник: журнал "Хакер"

Специалисты по информационной безопасности обнаружили, что OxygenOS, под управлением которой работают смартфоны OnePlus, собирает множество данных о пользователях и передает эту информацию на серверы компании без предварительного обезличивания.

Первым на проблему обратил внимание исследователь, известный под псевдонимом Tux, и это произошло еще в июле 2016 года. К сожалению, тогда твит специалиста остался никем незамеченным, и повторно баг был обнаружен только год спустя, на этой неделе, когда утечку данных заметил британский ИБ-специалист Кристофер Мур (Christopher Moore).


Мур обнаружил, что OxygenOS регулярно отсылает собранную на устройстве телеметрию на серверы OnePlus. Казалось бы, в наши дни телеметрию собирают практически все приложения, и большой проблемы в этом нет. Однако в данном случае информация не обезличивается должным образом, то есть телеметрию можно связать с конкретным пользователем и устройством, по сути, деанонимизировав таким образом конкретного человека в реальном мире.

Смартфоны OnePlus собирают следующие данные:

номер телефона устройства;

IMEI;

IMSI;

идентификаторы ESSID и BSSID;

серийный номер устройства;

MAC-адрес;

имя сети оператора;

статус батареи;

данные об открытии и закрытии приложений;

время блокировки и разблокировки устройства:

время отключения и включения экрана.

Хуже того, Мур обнаружил, что отключить сбор этой статистики невозможно. Эксперт даже связался с поддержкой OnePlus и попросил помощи там, однако специалисты компании тоже не сумели подсказать, как остановить утечку. Здесь стоит отметить, что официальных комментариев от OnePlus пока не поступало.

Пока компания не представила официального решения проблемы, свой способ решения предложил польский разработчик Якуб Чекански (Jakub Czekański). Для этого не понадобится рутовать аппарат и лезть глубоко в системные файлы. Специалист предлагает включить в настройках для разработчиков режим отладки через USB, подключить смартфон к ПК, а затем воспользоваться Android Debug Bridge. Чтобы отключить слежку, потребуется выполнить следующие команды:

adb start-server

adb shell

pm uninstall -k --user 0 net.oneplus.odm

Источник: журнал "Хакер"