Антивирусная компания "Доктор Веб" сообщила об обнаружении новой модификации трояна Trojan.PWS.OSMP, поражающей платежные терминалы.
Вирус используется злоумышленниками для хищения денежных средств "при использовании терминалов одной из крупнейших российских платежных систем", говорится в сообщении. По данным издания CNews.ru, речь идет о популярной в России платежной системе Qiwi.
Представители Qiwi сообщили изданию, что троян обнаружен около месяца назад, Dr.Web и "Лаборатория Касперского" оперативно выпустили антивирусы и проблема была оперативно решена.
Специалисты "Доктора Веба", однако, указывают на признаки наличия ботнета, составленного из взломанных терминалов. Ботнетами, напоминим, называют сети, зараженные программой, использующей ресурсы компьютеров в этих сетях в своих целях.
Trojan.PWS.OSMP может подменять номер счета, на который пользователь осуществил платеж. В результате деньги могут попадать напрямую к злоумышленникам.
Заражение терминала происходит через USB-накопители. Как только такая флешка подключается к терминалу (например, обслуживающим персоналом), происходит автозапуск бэкдора BackDoor.Pushnik, представляющего собой вредоносную программу в виде исполняемого файла, созданного в среде Delphi.
В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит задача загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.
В России установлено более 100 тыс. терминалов платежной системы Qiwi. Терминалы используются для оплаты услуг более 1600 компаний - от мобильной связи и жилищно-коммунальных услуг до банковских кредитов, а также позволяют приобретать авиа- и железнодорожные билеты, оплачивать покупки в интернет-магазинах, штрафы ГИБДД и многое другое.