Антивирусная компания «Доктор Веб» сообщает о вирусе, поражающем файлы терминалов мгновенной оплаты Qiwi. Злоумышленники могут перенаправлять клиентские платежи на свой счет или просто создать псевдотерминал на своём компьютере. У преступников могут быть сообщники среди обслуживающего персонала, уверены эксперты.

Специалисты антивирусной компании «Доктор Веб» обнаружили троянскую программу, направленную на похищение денежных средств из терминалов «одной из крупнейших российских платежных систем», сообщила компания.

Вирус Trojan.PWS.OSMP подменяет номер счета, на который осуществляют платежи пользователи терминалов. Деньги попадают напрямую злоумышленникам.

Разработчики антивирусов официально отказываются комментировать, какие именно платежные терминалы подвержены атаке, но в пресс-релизе указывается, что вирус поражает исполняемый файл maratl.exe. Такое название носит исполняемый файл в программном обеспечении для терминалов Qiwi компании ОСМП.

В компании Qiwi «Газете.Ru» сообщили, что знают о появлении данного вируса, но «при анализе было выявлено, что его активность крайне низка». «Никак краж и несанкционированных действий на данный момент нами не обнаружено. Мы обладаем эффективной системой мониторинга, которая при возникновении каких-либо даже самых незначительных угроз оперативно проинформирует нас о них.

Наличие данного вируса мы мониторим с 20 февраля и в эту же дату предоставили агентам инструкции и рекомендации», — заявляет представитель компании Qiwi Александра Высочкина. В настоящее время наличие зараженных терминалов не зафиксировано, сообщают в компании.

Терминалы, зараженные вирусом, работают на операционной системе Windows. «Для установки такой программы нужно, чтобы у злоумышленника был доступ к USB-порту терминала и чтобы работала система автозапуска файлов с флешки», — рассказывает директор департамента аудита компании «Информзащита» Максим Эмм.

Trojan.PWS.OSMP не сразу попадает в систему терминала: первоначально туда через съемные носители, в частности USB Flash Drive, злоумышленниками заносится вредоносная программа BackDoor.Pushnik, рассказал «Газете.Ru» представитель «Доктор Веб» Кирилл Леонов. В дальнейшем с её помощью из интернета подгружается троян. «В отличие от банкоматов терминалы проводят все свои операции через интернет, оттуда и приходит угроза», — поясняет Леонов. Попадая в операционную систему, троян проверяет программное обеспечение, установленное на терминале, и осуществляет поиск процесса maratl.exe. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его «память».

Первая модификация этого трояна появилась в 2009 году, рассказывает Леонов. Подробный функционал работы трояна в «Доктор Веб» стали изучать в начале 2011 года, когда увидели, что активность его расширяется и формируется целая бот-сеть, специально организованная для атак на платежные терминалы. «Мы наблюдаем постоянное усовершенствование бот-сети, поиски все новых способов похищения денежных средств из платежных систем», — добавляет Леонов. Последняя известная модификация Trojan.PWS.OSMP появилась в конце февраля 2011 года. Она действует принципиально по иной схеме.

«Вирус крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник», — добавляет Леонов. Всего на сегодняшний день в базах антивируса более 10 модификаций троянов семейства OSMP.

Вредоносное программное обеспечение, созданное для банкоматов или платежных терминалов, представляет высокий уровень опасности, считает Александр Писемский, заместитель генерального директора компании Group-IB, занимающейся расследованием компьютерных преступлений.

Факт попадания вредоносного ПО в операционную систему через подключенный к терминалу внешний USB-накопитель может указывать на то, что у преступников были сообщники среди обслуживающего персонала, так как получить доступ к управлению аппаратом может только авторизованное лицо, у кого есть специальные ключи и навыки отключения системы оповещения, считает эксперт. «Как показывает практика реагирования на ИТ-инциденты, случаи таких заражений не имеют массового характера, т. к. круг подозреваемых весьма ограничен и компетентным органам достаточно просто выявить нарушителей. Компьютерные криминалисты могут с точностью до минут определить, когда терминал был заражен. Далее достаточно просто установить, кто в этот момент обслуживал аппарат и имел к нему доступ», — добавляет Писемский.

Впрочем, большинство таких терминалов устанавливаются через субподрядчиков, говорит Эмм, так что владелец может даже не знать о проблемах в каком-то регионе. По мнению эксперта, скорее всего, злоумышленник просто купил б/у аппарат с установленным софтом. Разобрал, понял, как устроен замок, какая система там используется. Заказал троян специально под эту систему и установил его на ряд терминалов.

«Сейчас необходимо проследить, куда уходили деньги с помощью этой программы, и вычислить их получателя», — убеждён Эмм. Но заявить о пропаже денег должны сами владельцы терминалов.