Червь подкопался под «Киви»

Троянские программы, впервые получившие печальную известность на настольных компьютерах, затем без особого труда покорившие мобильные устройства, теперь официально взяли новый барьер. Опасаться хакеров сейчас приходится и при работе с терминалами оплаты услуг, которые за последние годы появились едва ли не каждом углу в крупных городах.

Вредоносный софт, который условно назван Trojan.PWS.OSMP, официально обнаружен в распространенной сети платежных терминалов QIWI, за последние месяцы ставшей лидером на рынке оплаты услуг в Москве и других регионах страны. Правда, информация о нем появилась и распространяется при весьма своеобразных обстоятельствах.

Всё началось с того, что известный разработчик средств информационной безопасности, компания Dr. Web, в своих бюллетенях об обнаруженных вирусах и троянах сообщила о многочисленных разновидностях Trojan.PWS.OSMP, зафиксированных в сетях платежных терминалов. Как сообщили «СП» в компании, Dr. Web не озвучил названия конкретного оператора платежей; однако раскрыть инкогнито зараженной системы было несложно по имени исполняемого файла, поражаемого вирусом — maratl.exe. Оператором системы, в программной оболочке которой есть такой файл, оказалась крупнейшая компания ОСМП, владеющая почти сотней тысяч терминалов под брендом QIWI.

После этого в СМИ появились сообщения об обнаруженной уязвимости уже с указанием на оператора. В новостях расшифровывается опасность, которой подвергаются пользователи этих терминалов: вредоносная программа вмешивается в работу и подменяет номер счета, на который осуществляет платеж пользователь. «Таким образом, деньги попадают напрямую к злоумышленникам», — цитируют СМИ заявления Dr. Web.

---

В самой компании ОСМП обозревателю «СП» рассказали, что о проблеме знают. «Мы в курсе о появлении данного вируса, но при анализе выяснилось, что его активность крайне низка, — таков официальный ответ владельца QIWI на новость об обнаруженном трояне. — Никаких краж, совершенных таким способом, несанкционированных действий нами так и не обнаружено». Заявления Dr. Web поэтому выглядят весьма странно, — резюмировали в пресс-службе компании.

Как рассказали «СП» представители пресс-службы ОСМП, вирус, по всей вероятности, попал в систему терминалов через служебные интерфейсы — именно с помощью флеш-карт, вставляемых в закрытые для пользователей разъемы, обновляется программное обеспечение терминалов. Была это халатность сотрудников службы поддержки или чья-то диверсия — в ОСМП ответить затруднились.

Основное уязвимое место терминалов, как оказалось — операционная система: аппараты работают на общераспространенной системе Windows. Вкратце механизм трояна таков: первоначально в операционную систему платежного терминала через съемные носители попадает вредоносная программа BackDoor.Pushnik. «Как только флешка подключается к терминалу, — объясняется в сообщении антивирусной компании, — BackDoor. Pushnik получает с сервера первого уровня конфигурационную информацию».

Trojan.PWS.OSMP не сразу попадает в систему терминала: первоначально туда через съемные носители, в частности USB Flash Drive, злоумышленниками заносится вредоносная программа BackDoor. Pushnik, рассказал изданию «Газета.Ru» представитель «Доктор веб» Кирилл Леонов. В дальнейшем с её помощью из интернета подгружается троянец. «В отличие от банкоматов, терминалы проводят все свои операции через интернет, оттуда и приходит угроза», — поясняет Леонов. Попадая в операционную систему, троянец проверяет программное обеспечение, установленное на терминале, и осуществляет поиск процесса maratl.exe. Далее Trojan.PWS.OSMP встраивается в maratl. exe, меняя его «память».

Первая модификация этого трояна появилась в 2009 году, рассказывает Леонов. Подробный функционал работы трояна в «Доктор веб» стали изучать в начале 2011 года, когда увидели, что активность его расширяется и формируется целая бот-сеть, специально организованная для атак на платежные терминалы. «Мы наблюдаем постоянное усовершенствование бот-сети, поиски все новых способов похищения денежных средств из платежных систем», — добавляет Леонов. Последняя известная модификация Trojan.PWS.OSMP появилась в конце февраля 2011 года. Она действует принципиально по иной схеме.

«Вирус крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник»,

— добавляет Леонов. Всего на сегодняшний день в базах антивируса более 10 модификаций троянцев семейства OSMP.

---

Итак, трояны, предназначенные для ПО платежных терминалов, известны уже не первый год, однако до поры до времени они интересовали, в основном, специалистов по информационной безопасности. Что именно заставило общественников и журналистов сфокусировать внимание на уязвимости этих терминалов именно сейчас? Возможно, ответ на этот вопрос лежит не в технической, а в коммерческой плоскости.

Дело в том, что именно компания ОСМП с ее брендом QIWI за последние несколько месяцев резко активизировала свою деятельность — по крайней мере, в Москве. Еще год или полтора назад «Киви» была лишь одной из нескольких крупных сетей, наряду с конкурентами — «Элекснет», «Киберплат» и некоторыми другими. Сейчас ситуация коренным образом изменилась — QIWI уверенно лидирует как по числу точек, так и по объемам проводимых платежей.

Сегодня оператор-лидер может позволить себе даже проводить особую политику по отношению к некоторым сервисам. Так, например, существенно затруднено обслуживание системы «Яндекс-деньги» и городской телефонии МГТС — эксперты объясняют это тем, что QIWI заинтересована в развитии собственной системы «Кошелька».

В этом контексте появление в новостях сообщений о троянских программах в этой системе терминалов (насколько велика угроза — толком пока неизвестно) вполне может означать очередной этап корпоративной войны кого-либо из конкурентов QIWI. Впрочем, тот факт, что надежность этого вида оплаты услуг — дело достаточно виртуальное, к сожалению, неоспорим. Любой электронный платеж, так или иначе, сопряжен с риском.