В терминалах QIWI нашли троянца

Разработчики антивирусного программного обеспечения обнаружили в одной из крупнейших российских платежных систем QIWI троянца, заражающего терминалы. Как сообщают в компании «Доктор Веб», вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом деньги попадают к злоумышленникам.

«Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi, – сообщают в пресс-службе антивирусного вендора. – Передается он через съемные носители, в частности USB Flash Drive. Как только такая флешка подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня информацию, в которой присутствует адрес управляющего сервера второго уровня. От него, в первую очередь, исходит задача загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

Этот троянец является одной из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, он проверяет ПО, установленное на терминале, и ведет поиск процесса maratl.exe, который является вполне легальной программой. Троян встраивается в этот файл, меняя его память. «В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям».

При этом последняя известная модификация трояна, появившаяся в конце февраля этого года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на свой счет в электронной форме, не пользуясь купюроприемником.

«Сейчас можно с уверенностью сказать, что Trojan, PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe, – считают в «Доктор Веб». – Специалисты компании уже передали всю известную им информацию компании-владельцу терминалов, которые находятся под угрозой».

При этом «Доктор Веб» не уточняет, о какой именно платежной системе идет речь, однако, как сообщили «Ведомости» со ссылкой на ведущего антивирусного эксперта «Лаборатории Касперского» Сергея Голованова, угрозе подверглись терминалы QIWI, контролирующей более 40% российского рынка моментальных платежей.

Чуть позже президент группы QIWI Андрей Романенко выступил с официальным заявлением по этому вопросу. Он отметил, что предоставляемая антивирусными экспертами информация «существенно искажена». По его версии, появление троянца было зафиксировано собственной системой мониторинга компании еще 20 февраля. «Мы оперативно отреагировали и произвели необходимые действия по устранению возможных угроз со стороны этого вредоносного ПО, – сообщил г-н Романенко. – В результате ни один наш клиент не пострадал, никаких краж и несанкционированных действий не зафиксировано».

По словам президента QIWI, через платежные терминалы системы ежедневно проходит более 10 миллионов транзакций, поэтому интерес злоумышленников ему вполне понятен. Между тем QIWI «использует многоуровневую систему защиты, которая успешно противостоит атакам, в том числе Anti-Fraud, которая умеет распознать любую атаку и заблокировать поступление платежей с «фальшивого» терминала, созданного путем хищения конфигурационного файла».