Мы неоднократно писали о мобильных зловредах, которые отправляют SMS на премиум-номера или воруют деньги с банковских счетов. Злоумышленники постоянно ищут новые способы кражи денег при помощи мобильных троянцев. И обнаруженный нами недавно троянец Trojan-SMS.AndroidOS.Waller.a продемонстрировал новый способ обогащения — помимо отправки платных SMS, зловред пытается украсть деньги с электронного кошелька QIWI.
После запуска Trojan-SMS.AndroidOS.Waller.a обращается на C&C-сервер хозяев за командой.
Запрос к С&C
C&C-сервер злоумышленников расположен по адресу playerhome.info. Домен зарегистрирован через французскую компанию, и в регистрационных данных указан французский телефон, но электронная почта владельца расположена на сервисе «Яндекс.Почта». В качестве хостинга используется облачный сервис Сloudflare.
После получения соответствующих команд Trojan-SMS.AndroidOS.Waller.a может:
- Проверять баланс мобильного счета. Для этого он отправляет SMS на номер оператора мобильной связи, после чего перехватывает ответную входящую SMS.
- Отправлять SMS на указный номер с указанным текстом.
- Открывать веб-страницу по указанному адресу.
- Обновлять себя.
- Скачивать и устанавливать другие вредоносные объекты.
- Перехватывать SMS с указанных номеров.
- Рассылать SMS с указанным текстом по всем адресам из контакт-листа жертвы.
Однако помимо стандартного для Trojan-SMS функционала, Waller обладает еще несколькими возможностями, которые позволяют ему опустошать кошельки QIWI-Wallet владельцев зараженных смартфонов. Получив соответствующую команду, троянец проверяет баланс счета электронного кошелька QIWI-Wallet. Для этого он отправляет SMS на номер 7494. Полученные в ответ SMS троянец перехватывает и переправляет их своим хозяевам.
Если у владельца зараженного устройства есть счет QIWI-Wallet, и Waller получает информацию о положительном балансе электронного кошелька, то троянец может переводить деньги со счета пользователя на указанный злоумышленниками счет QIWI Wallet. Для этого по команде хозяев троянец отправляет на номер 7494 SMS, в котором указаны номер кошелька злоумышленников и сумма перевода. Отметим, что в течение одного дня можно перевести до 15000 рублей.
Ниже приведен пример ответа от C&C сервера с командами на проверку баланса телефонного счета, проверку баланса QIWI Wallet и удаление входящих SMS с премиум-номеров 1141, 1151, 1899, 1161:
Использование электронных кошельков злоумышленниками дает им возможность воровать деньги у пользователей и в тех странах, где не действуют премиум-номера. Ведь электронные кошельки, с возможностью управления c помощью SMS, представлены во многих странах. Согласно Википедии, кроме России, платежный сервис QIWI работает на рынках ещё семи стран (Румыния, Бразилия, Казахстан, Беларусь, Молдова, Иордания, США), а в 15 других странах представлен по модели франшизы.
Троянец распространяется с сайтов злоумышленников под видом различных приложений — например, как «android universalnaya proshivka», «media player classic dlya android», «golosomenyalka na android». Кроме того, ссылки на Waller рассылаются в SMS-спаме. Троянец пока не очень популярен, но в последнее время злоумышленники все активнее пытаются заражать мобильные устройства пользователей этим зловредом.
Для того чтобы снизить риск заражения мобильными вредоносными программами, мы рекомендуем пользователям:
- Не включать на мобильных устройствах «режим разработчика».
- Не ставить галочку «установка приложений из сторонних источников».
- Устанавливать приложения только из официальных каналов (Google play, Amazon store и т. п.).
- Внимательно следить за теми правами, которые приложения запрашивают при установке.
- Если набор прав не соответствует назначению приложения (например, игра запрашивает право на отправку SMS), отказаться от установки подозрительного приложения.
- Использовать защитное ПО.
Bоровство из кошелька