POS-терминалы снова под угрозой

POS-терминалы снова под угрозой

Наступил предпраздничный сезон, количество покупок увеличилось, а вместе с ним увеличился риск столкнуться с инфицированным PoS-терминалом. Эксперты сообщают об обнаружении сразу нескольких образцов вредоносных программ, поражающих платежные устройства.

Вирус ModPOS специалисты вообще назвали одним из наиболее сложных в своем классе.

Специалисты компании iSight Partners, обнаружившие ModPOS, назвали вредоноса «PoS-малварью на стероидах» и одним из наиболее сложных представителей «жанра». И это мнение компании, которая анализирует вредоносное ПО такого рода более восьми лет! По данным iSight Partners, в ходе масштабной кампании, нацеленной на крупных американских ритейлеров, названия которых не раскрываются, ModPOS похитил несколько миллионов долларов с кредитных и дебетовых карт, пишет xakep.ru.

Вредонос оставался вне поля зрения вирусных аналитиков с 2013 года. Даже на хакерских форумах практически невозможно найти упоминания данной малвари.

Команде iSight Partners понадобилось более трех недель на реверс-инжиниринг программы, и только после этого они смогли добраться до трех модулей ядра ModPOS. Для сравнения, недавно на «вскрытие» PoS-вредоноса Cherry Picker у их коллег ушло около получаса. Специалисты iSight Partners пишут, что «невероятно талантливый автор проделал великолепную работу», создав ModPOS. В компании полагают, что автор вируса – житель Восточной Европы.

 

 

Эксперты также сообщают, что на разработку каждого из модулей ядра ModPOS ушла «куча времени и денег». Каждый из модулей ведет себя как руткит, что дополнительно усложняет их анализ и реверс-инжиниринг.

Для связи с командными серверами малварь использует 128- и 256-битное шифрование и запрашивает уникальный ключ для каждого клиента. Понять, какие данные были похищены, из-за этого практически невозможно. Другие PoS-зловреды, как правило, передают информацию открытым текстом, не прибегая к шифрованию.

Менее сложного, но очень коварного представителя семейства PoS-вредоносов обнаружили специалисты компании InfoArmor. Вирус, получивший имя Pro PoS, весит всего 76 Кб. Как ни странно, этого объема хватило, чтобы уместить функции руткита и обвести вирусных аналитиков вокруг пальца. Вирус тоже, предположительно, создан Восточно Европейскими хакерами (см. скриншот ниже).

Pro PoS использует полиморфный движок, то есть каждый билд вредоноса имеет новую сигнатуру. Это позволяет избежать обнаружения и преодолеть системы защиты. Специалисты InfoArmor предупреждают, что на данный момент Pro PoS активно используется для атак на крупные канадские и американские торговые сети.

Pro PoS получил последнее обновление 27 ноября 2015 года, и одновременно с этим возросла его цена. Cегодня полугодовая лицензия на вредонос стоит $2600.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фейковое Android-приложение Deepseek AI крадет банковские данные

Специалисты K7 Labs раскрыли новую вредоносную кампанию, в рамках которой злоумышленники распространяют банковский троян для Android под видом популярного чатбота Deepseek AI. Вредонос назвали OctoV2.

Атака начинается с фишинговой ссылки, ведущей на поддельный сайт, внешне практически неотличимый от официального ресурса Deepseek AI.

Пользователям предлагается скачать приложение с названием «DeepSeek.apk». После установки вредоносная программа маскируется под оригинальное приложение, используя его иконку.

Зловред сначала просит пользователя разрешить установку приложений из неизвестных источников, после чего инсталлирует две отдельные вредоносные программы — «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29.

«Дочерний» софт активно запрашивает у жертвы доступ к специальным возможностям операционной системы Android (Accessibility Service).

 

Исследователи столкнулись со сложностями анализа «родительского» приложения из-за парольной защиты. Здесь наблюдается тенденция к росту числа подобных вредоносных APK-файлов с защитой от реверс-инжиниринга.

Тем не менее специалистам удалось определить, что «родительское» приложение проверяет наличие файла с расширением «.cat», после чего устанавливает дополнительный вредоносный пакет.

Кроме того, троян OctoV2 использует алгоритм генерации доменов (DGA), что позволяет постоянно менять имена серверов управления и обходить блокировки. Кроме того, троян передаёт на серверы злоумышленников информацию обо всех установленных на заражённом устройстве приложениях.

Напомним, ранее банковский Android-троян Octo выдавал себя за Google Chrome и NordVPN.

Специалисты рекомендуют быть особенно внимательными при скачивании приложений и избегать установки программ из неизвестных источников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru