Описание вредоносного ПО

Bоровство из кошелька

Мы неоднократно писали о мобильных зловредах, которые отправляют SMS на премиум-номера или воруют деньги с банковских счетов. Злоумышленники постоянно ищут новые способы кражи денег при помощи мобильных троянцев. И обнаруженный нами недавно троянец Trojan-SMS.AndroidOS.Waller.a продемонстрировал новый способ обогащения — помимо отправки платных SMS, зловред пытается украсть деньги с электронного кошелька QIWI.

После запуска Trojan-SMS.AndroidOS.Waller.a обращается на C&C-сервер хозяев за командой.


Запрос к С&C

C&C-сервер злоумышленников расположен по адресу playerhome.info. Домен зарегистрирован через французскую компанию, и в регистрационных данных указан французский телефон, но электронная почта владельца расположена на сервисе «Яндекс.Почта». В качестве хостинга используется облачный сервис Сloudflare.

После получения соответствующих команд Trojan-SMS.AndroidOS.Waller.a может:

  • Проверять баланс мобильного счета. Для этого он отправляет SMS на номер оператора мобильной связи, после чего перехватывает ответную входящую SMS.
  • Отправлять SMS на указный номер с указанным текстом.
  • Открывать веб-страницу по указанному адресу.
  • Обновлять себя.
  • Скачивать и устанавливать другие вредоносные объекты.
  • Перехватывать SMS с указанных номеров.
  • Рассылать SMS с указанным текстом по всем адресам из контакт-листа жертвы.

Однако помимо стандартного для Trojan-SMS функционала, Waller обладает еще несколькими возможностями, которые позволяют ему опустошать кошельки QIWI-Wallet владельцев зараженных смартфонов. Получив соответствующую команду, троянец проверяет баланс счета электронного кошелька QIWI-Wallet. Для этого он отправляет SMS на номер 7494. Полученные в ответ SMS троянец перехватывает и переправляет их своим хозяевам.

Если у владельца зараженного устройства есть счет QIWI-Wallet, и Waller получает информацию о положительном балансе электронного кошелька, то троянец может переводить деньги со счета пользователя на указанный злоумышленниками счет QIWI Wallet. Для этого по команде хозяев троянец отправляет на номер 7494 SMS, в котором указаны номер кошелька злоумышленников и сумма перевода. Отметим, что в течение одного дня можно перевести до 15000 рублей.

Ниже приведен пример ответа от C&C сервера с командами на проверку баланса телефонного счета, проверку баланса QIWI Wallet и удаление входящих SMS с премиум-номеров 1141, 1151, 1899, 1161:

Использование электронных кошельков злоумышленниками дает им возможность воровать деньги у пользователей и в тех странах, где не действуют премиум-номера. Ведь электронные кошельки, с возможностью управления c помощью SMS, представлены во многих странах. Согласно Википедии, кроме России, платежный сервис QIWI работает на рынках ещё семи стран (Румыния, Бразилия, Казахстан, Беларусь, Молдова, Иордания, США), а в 15 других странах представлен по модели франшизы.

Троянец распространяется с сайтов злоумышленников под видом различных приложений — например, как «android universalnaya proshivka», «media player classic dlya android», «golosomenyalka na android». Кроме того, ссылки на Waller рассылаются в SMS-спаме. Троянец пока не очень популярен, но в последнее время злоумышленники все активнее пытаются заражать мобильные устройства пользователей этим зловредом.

Для того чтобы снизить риск заражения мобильными вредоносными программами, мы рекомендуем пользователям:

  • Не включать на мобильных устройствах «режим разработчика».
  • Не ставить галочку «установка приложений из сторонних источников».
  • Устанавливать приложения только из официальных каналов (Google play, Amazon store и т. п.).
  • Внимательно следить за теми правами, которые приложения запрашивают при установке.
  • Если набор прав не соответствует назначению приложения (например, игра запрашивает право на отправку SMS), отказаться от установки подозрительного приложения.
  • Использовать защитное ПО.

Bоровство из кошелька

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике