После установки на Android-устройство жертвы троянец отправляет SMS на номер 7494 с номером кошелька злоумышленников и суммой перевода.
В Сети зафиксирован новый троянский вирус, получивший название Waller. По данным экспертов из «Лаборатории Касперского», вредонос направлен на Android-устройства. Главной особенностью вируса является способность похищать средства с электронного кошелька QIWI.
Проанализировав троянское приложение, специалисты компании установили, что подконтрольный злоумышленникам С&C-сервер находится по адресу playerhome.info, а домен зарегистрирован на французскую компанию. Тем не менее, электронная почта владельца расположена на сервисе «Яндекс.Почта».
«Помимо стандартного для Trojan-SMS функционала, Waller обладает еще несколькими возможностями, которые позволяют ему опустошать кошельки QIWI-Wallet владельцев зараженных смартфонов, - пишет эксперт ЛК Роман Унучек. - Получив соответствующую команду, троянец проверяет баланс счета электронного кошелька QIWI-Wallet. Для этого он отправляет SMS на номер 7494».
В случае наличия электронного кошелька (и средств на нем), Waller может начать перевод средств со счета жертвы. С этой целью на выше указанный номер отправляется сообщение, содержащее номер кошелька злоумышленников и сумма перевода. Ежедневно переводить можно до 15 тыс. руб.
Унучек подчеркивает, что задействование электронных кошельков позволяет осуществлять переводы средств даже в государствах, в которых не поддерживается возможность отправки SMS на премиум-номера. В частности, жертвами злоумышленников могут стать владельцы кошельков QIWI из России, Румынии, Бразилии, Казахстана, Беларуси, Молдовы, Иордании и США. Эксперт также отмечает, что еще в 15 государствах сервис представлен по модели франшизы.
«Троянец распространяется с сайтов злоумышленников под видом различных приложений - например, как "android universalnaya proshivka", "media player classic dlya android", "golosomenyalka na android". Кроме того, ссылки на Waller рассылаются в SMS-спаме», - пишет Унучек.
Несмотря на то, что вирус используется довольно редко, в ЛК говорят, что в последнее время активность Waller возросла.
Источник: securitylab.ru.
|