Bоровство из кошелька

Мы неоднократно писали о мобильных зловредах, которые отправляют SMS на премиум-номера или воруют деньги с банковских счетов. Злоумышленники постоянно ищут новые способы кражи денег при помощи мобильных троянцев. И обнаруженный нами недавно троянец Trojan-SMS.AndroidOS.Waller.a продемонстрировал новый способ обогащения — помимо отправки платных SMS, зловред пытается украсть деньги с электронного кошелька QIWI.

После запуска Trojan-SMS.AndroidOS.Waller.a обращается на C&C-сервер хозяев за командой.

Запрос к С&C

C&C-сервер злоумышленников расположен по адресу playerhome.info. Домен зарегистрирован через французскую компанию, и в регистрационных данных указан французский телефон, но электронная почта владельца расположена на сервисе «Яндекс.Почта». В качестве хостинга используется облачный сервис Сloudflare.

После получения соответствующих команд Trojan-SMS.AndroidOS.Waller.a может:

• Проверять баланс мобильного счета. Для этого он отправляет SMS на номер оператора мобильной связи, после чего перехватывает ответную входящую SMS.
• Отправлять SMS на указный номер с указанным текстом.
• Открывать веб-страницу по указанному адресу.
• Обновлять себя.
• Скачивать и устанавливать другие вредоносные объекты.
• Перехватывать SMS с указанных номеров.
• Рассылать SMS с указанным текстом по всем адресам из контакт-листа жертвы.

Однако помимо стандартного для Trojan-SMS функционала, Waller обладает еще несколькими возможностями, которые позволяют ему опустошать кошельки QIWI-Wallet владельцев зараженных смартфонов. Получив соответствующую команду, троянец проверяет баланс счета электронного кошелька QIWI-Wallet. Для этого он отправляет SMS на номер 7494. Полученные в ответ SMS троянец перехватывает и переправляет их своим хозяевам.

Если у владельца зараженного устройства есть счет QIWI-Wallet, и Waller получает информацию о положительном балансе электронного кошелька, то троянец может переводить деньги со счета пользователя на указанный злоумышленниками счет QIWI Wallet. Для этого по команде хозяев троянец отправляет на номер 7494 SMS, в котором указаны номер кошелька злоумышленников и сумма перевода. Отметим, что в течение одного дня можно перевести до 15000 рублей.

Ниже приведен пример ответа от C&C сервера с командами на проверку баланса телефонного счета, проверку баланса QIWI Wallet и удаление входящих SMS с премиум-номеров 1141, 1151, 1899, 1161:

Использование электронных кошельков злоумышленниками дает им возможность воровать деньги у пользователей и в тех странах, где не действуют премиум-номера. Ведь электронные кошельки, с возможностью управления c помощью SMS, представлены во многих странах. Согласно Википедии, кроме России, платежный сервис QIWI работает на рынках ещё семи стран (Румыния, Бразилия, Казахстан, Беларусь, Молдова, Иордания, США), а в 15 других странах представлен по модели франшизы.

Троянец распространяется с сайтов злоумышленников под видом различных приложений — например, как «android universalnaya proshivka», «media player classic dlya android», «golosomenyalka na android». Кроме того, ссылки на Waller рассылаются в SMS-спаме. Троянец пока не очень популярен, но в последнее время злоумышленники все активнее пытаются заражать мобильные устройства пользователей этим зловредом.

Для того чтобы снизить риск заражения мобильными вредоносными программами, мы рекомендуем пользователям:

• Не включать на мобильных устройствах «режим разработчика».
• Не ставить галочку «установка приложений из сторонних источников».
• Устанавливать приложения только из официальных каналов (Google play, Amazon store и т. п.).
• Внимательно следить за теми правами, которые приложения запрашивают при установке.
• Если набор прав не соответствует назначению приложения (например, игра запрашивает право на отправку SMS), отказаться от установки подозрительного приложения.
• Использовать защитное ПО.