微軟發現Android 預裝應用受高危漏洞影響

非法獲利5.68億美元，37歲欺詐者被判四年

據Bleeping Computer消息，來自紐約的37歲的男子John Telusma因在跨國網絡犯罪組織運營的Infraud卡片門戶上出售、使用被盜和受損信用卡、個人信息、財務信息而被判處四年有期徒刑。此外，該網絡犯罪組織還有35人也因為相同的罪名被抓捕、判刑。

資料顯示，Infraud Organization是一家基于互聯網的網絡犯罪企業，主要從事大規模收購、售賣和散播已被盜取的身份信息，被盜取密碼的借記卡、信用卡、個人信息、財務和銀行信息，計算機惡意軟件等非法買賣。

2018年2月7日，法院提交的刑事起訴書詳細解釋了四年前每一位被告的具體信息。

根據法庭發布的文件，Telusma于2011年8月加入Infraud Organization，并一直參與該組織的網絡犯罪行為，直至2017年上半年。他是 Infraud 門戶網站中最多產、最活躍的供應商之一，曾大規模收購、售賣信用卡，并未其他成員提供“刪除”和“兌現”服務。

其余部分在美國被判刑的欺詐成員如下：

Infraud 聯合創始人Sergey Medvedev——被判處 10 年監禁；

惡意軟件開發者Valerian Chiochiu——被判處 10 年監禁；

核心成員 Arnaldo Sanchez Torteya — 被判 8 年監禁；

核心成員埃德加·羅哈斯——被判處八年徒刑；

ATM撇渣器 Jose Gamboa — 被判 8 年監禁；

核心成員 Pius Wilson — 被判處7年徒刑。

欺詐組織層次結構（美國司法部）

大肆出售被盜的身份信息和財務信息

根據訴書中的內容，Infraud團體于2010年建立。在“我們信任詐騙”口號的宣揚之下，該集團指揮其成員中的貿易買手和潛在買家到各個自動售賣點去，為盜取身份信息、財務和銀行信息、惡意軟件和其他非法物品提供在線渠道。

在拉斯維加斯大陪審團恢復該團伙敲詐勒索陰謀罪和其他罪名的起訴后，聯邦、內華達州、拉斯維加斯當地和全國各地執法部門的官員在全美和包括澳大利亞、英國、法國等在內的六個國家將13名嫌犯抓捕歸案。

司法部代理助理檢察長克羅南說：“今天的起訴和逮捕行動是司法部處理過的最嚴重的網絡詐騙案件之一。”

據Infraud團伙的成員交代，該詐騙集團已導致用戶、商家、金融機構等發生高達5.3億美元的實際損失，他們計劃要達到的詐騙金額甚至超過了22億美元。

而犯罪分子想要加入Infraud Organization組織，都必須要得到Infraud管理員進行審查和批準，否則他們出售的“產品和服務”就被會管理員認為“低于標準”，并被下架。在組織內部，所有成員都以匿名的形式進行交流，以此逃避執法和現實世界對其欺詐、犯罪活動的影響。

參考來源：https://www.bleepingcomputer.com/news/security/new-yorker-imprisoned-for-role-in-carding-group-behind-568m-damages/

微軟發現Android 預裝應用受高危漏洞影響

5月27日，微軟365 Defender 研究團隊披露了在 mce Systems 提供的 Android Apps 移動服務框架中的嚴重安全漏洞，多個運營商的默認預裝應用受影響，其下載量已達數百萬次。

研究人員發現的漏洞被追蹤為CVE-2021-42598、 CVE-2021-42599、 CVE-2021-42600和 CVE-2021-42601， CVSS評分在 7.0分-8.9分之間， 能夠讓用戶遭受命令注入和權限提升攻擊，受影響的運營商包括 AT&T、TELUS、Rogers Communications、Bell Canada和 Freedom Mobile。

研究人員發現該框架有一個“BROWSABLE”服務活動，可以遠程調用以利用多個漏洞，攻擊者可以利用這些漏洞來植入持久性后門或對設備進行實質性控制。

這些帶有漏洞的應用程序嵌入在設備的系統映像中，表明它們是這些運營商提供的預裝軟件。如同現在大多數 Android 設備附帶的許多預裝或默認應用程序一樣，如果沒有獲得設備的 root 訪問權限，一些受影響的應用程序就無法完全卸載或禁用。

在微軟公開披露這些漏洞之前，mce Systems 已修復問題并向受影響的提供商提供框架更新，但研究人員發現一些運營商仍在使用之前存在漏洞的框架版本，如果用戶安裝了包名為 com.mce.mceiotraceagent的應用，其設備也可能會受到試圖濫用這些漏洞的攻擊，建議用戶及時清除這些應用，并更新至最新的系統版本。