Спецпроекты

Безопасность Пользователю Телеком Инфраструктура

Трояны, ворующие деньги, заражают терминалы Qiwi

Антивирусные специалисты обнаружили ботнет, заразивший сеть терминалов платежной системы Qiwi. Трояны нацелены на хищение средств, которые пользователи вносят для оплаты услуг.

Специалисты по информационной безопасности компании «Доктор Веб» сообщили об обнаружении новой модификации трояна Trojan.PWS.OSMP, предназначенного для хищения денежных средств при использовании терминалов одной из крупнейших российских платежных систем. По информации CNews, заражению подверглась самая популярная в России платежная система Qiwi.

Первая модификация трояна была обнаружена несколько лет назад, но с тех пор он был значительно модифицирован. Вмешиваясь в работу процесса maratl.exe, запущенного в операционной системе терминала Windows, зловред может подменять номер счета, на который пользователь осуществил платеж. В результате деньги могут попадать напрямую к злоумышленникам.

Заражение терминала может происходить через USB-флешку. Как только такая флешка подключается к терминалу (например, обслуживающим персоналом), происходит автозапуск бэкдора BackDoor.Pushnik, представляющего собой вредоносную программу в виде исполняемого файла, созданного в среде Delphi. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит задача загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

"Троян был обнаружен около месяца назад, Dr.Web и "Лаборатория Касперского" оперативно выпустили соответствующие антивирусы и проблема была оперативно решена, - заявил CNews президент группы Qiwi Андрей Романенко. - Ущерба для пользователей зафиксировано не было".

В целом мошенничество с использованием терминалов является бесполезной затеей, считает Романенко: "Цель мошенника - получить деньги, значит, в конце цепочки будет стоять физическое лицо, которое в конце концов можно будет вычислить".

Под угрозой может находиться самая популярная сеть терминалов в России
Под угрозой может находиться самая популярная сеть терминалов в России

Тем не менее, сегодня специалисты «Доктора Веба» сообщили CNews о признаках наличия ботнета из взломанных терминалов. Это говорит о том, что проблема может быть не решена полностью.

По данным официального сайта Qiwi, в России насчитывается более 100 тыс. терминалов данной платежной системы. Терминалы используются для оплаты услуг более 1600 компаний - от мобильной связи и жилищно-коммунальных услуг до банковских кредитов, а также позволяют приобретать авиа- и железнодорожные билеты, оплачивать покупки в интернет-магазинах, штрафы ГИБДД и многое другое.

Сергей Попсулин

Короткая ссылка