Descubren un troyano que roba dinero de carteras QIWI

Kaspersky ha descubierto un nuevo troyano llamado "Trojan-SMS.AndroidOS.Waller.a" que es capaz de enviar SMS premium y robar el dinero de un monedero electrónico QIWI. Después de ejecutarse, este malware conecta con su servidor C&C y espera nuevas instrucciones. A continuación se muestra una imagen de la petición al servidor C&C.
 


Una cartera QIWI es un sistema de monedero electrónico que comparte marca con Visa. El sistema de pago se puso en marcha en 2007 y permite a sus clientes realizar pagos en línea en servicios públicos, facturas de móviles, Internet y compras en línea. QIWI ha extendido su mercado en siete países, entre ellos Rumanía, Brasil, Kazajstán, Bielorrusia, Moldavia, Jordania y los EE.UU. QIWI también cuenta con franquicias en otros 15 países.

¿Cómo funciona el malware?

Los cibercriminales operan con su servidor de comando y control con playerhome.info como nombre de dominio que está registrado por una empresa francesa con un número de teléfono francés. Sin embargo, los detalles de la cuenta de correo electrónico muestran la ubicación de Yandex, un motor de búsqueda ruso. Para alojar un dominio, los ciberdelincuentes aprovecharon la ayuda del servicio de nube CloudFlare.


Tan pronto como el troyano recibe el comando desde el servidor C&C, puede realizar las siguientes tareas:

• Comprobar el saldo de la cuenta de teléfono móvil mediante el envío de un único SMS al operador de telefonía móvil e interpretando la respuesta.
• Enviar mensajes de texto SMS a un número específico.
• Abrir una página web con una dirección web específica.
• El malware puede actualizarse.
• Incluso puede descargar e instalar programas maliciosos adicionales.
• Interrupción de mensajes de texto de los números especificados.
• El troyano puede enviar un mensaje a la lista de contactos de la víctima.

Además, este troyano puede robar el dinero de billeteras QIWI de los Smartphones infectados. El troyano comprueba el saldo mediante el envío de un SMS al número 7494. En respuesta, los delincuentes lo interrumpen y lo remiten a sus propietarios. Si el propietario tiene cuenta QIWI, entonces este troyano puede transferir el dinero a la cuenta QIWI de los criminales cibernéticos.

Mientras envían el SMS, este troyano también envía el número de la cartera y la cantidad de dinero que será transferida a la cuenta de los delincuentes cibernéticos. Hay un límite al día por transferencia de hasta 15.000 rublos (aproximadamente $430).

Kaspersky Lab ha revelado información acerca de los números de solicitud de SMS al 1141, 1151, 1899 y 1161 que se han contestado por el servidor C&C. Este troyano tiene éxito en países en los que los números de tarificación adicional no funcionan. A continuación se muestra una imagen de envío de solicitudes a los números anteriores:



El troyano apareció en la forma de aplicaciones como “universal android firmware”, “media player classic for Android”, “change your voice on android”. Sin embargo, este troyano no está muy extendido, aunque los criminales cibernéticos están haciendo grandes esfuerzos para infectar el mayor número de dispositivos móviles.

Kaspersky ha recomendado tomar algunas precauciones para evitar el riesgo de dicha infección por este malware:

• Evite el modo de programador en el dispositivo móvil.
• Evite la instalación aplicaciones de terceras partes.
• Instale únicamente aplicaciones de una fuente confiable.
• Lea cuidadosamente los derechos y el acceso durante la instalación de la aplicación.
• Si cualquier derecho infringe la función prevista de la aplicación, evite instalar tal aplicación.
• Utilice un software antivirus.


English version:

Kaspersky has discovered a new Trojan malware named “Trojan-SMS.AndroidOS.Waller.a” that both sent a premium SMS and steal money from a QIWI electronic wallet. After launching, this malware contacts its command and control server and waits for further instructions. Below is an image of Request to C&C server.



QIWI wallet is an electronic wallet system co-branded with Visa. The payment system was launched in 2007 that allows customers to make online payments for utilities, mobile bills, internet, and online shopping. QIWI has spread its market in seven countries, including Romania, Brazil, Kazakhstan, Belarus, Moldova, Jordan, and the USA. QIWI has also franchises in 15 other countries.


How malware works?


Cybercriminals operate their Command and control server with playerhome.info domain name that is registered by a French company with a French telephone number. However, the email account details show the location of Yandex, a Russian search engine. To host a domain, cybercriminals took the help of the CloudFlare cloud service.


As soon as the Trojan receives the command from C&C server, it can do the following tasks:


•    Check the balance of the mobile phone account by sending a single SMS to the mobile operator and in response can interpret the text message.
•    Send text SMS to a specific number.
•    Open a web page with a specific web address.
•    Malware can update itself.
•    Even can download and install additional malicious objects.
•    Interrupt text messages from specified numbers.
•    Trojan  Can send message to the entire contact list of a victim.
 

Further, this Trojan can steal money from QIWI wallets from the infected Smartphones. The Trojan checks the balance by sending an SMS request to the number 7494. In response, criminals will interrupt it, and they forward it to its owners. If the owner has QIWI account, then this Trojan can transfer the money to QIWI account of the cyber criminals.

While sending an SMS, this Trojan also sends wallet number and the amount of money will be transferred in account of cyber criminals. There is a per day limit of the money transfer set that is up to 15,000 rubles (approximately $430).
 

Kaspersky lab has revealed about the SMS request numbers 1141, 1151, 1899, and 1161 that are replied by C&C server. This Trojan is successful in countries where premium rate numbers do not work. Below is an image of sending requests on the above numbers.


The Trojan appeared in the form of applications like “universal android firmware”, “media player classic for Android”, “change your voice on android”. However, this Trojan is not widely spread, but cyber criminals are trying hard to infect as many mobile devices.


Kaspersky has recommended some precautions to avert the risk of such malware infection.


•    Avoid developer mode on mobile device.
•    Avoid third party application installation.
•    Only install applications from a reliable source.
•    Carefully read the rights and access during installation of the application.
•    If any right infringes the application’s intended function, then avoids such app.
•    Use antivirus software. 


About Author 
 

Abel Wike is a head of fraud prevention team at ClickSSL.com She enjoys the challenges of creativity and attention to detail. Advance Technology has always a source of wonder for her, sparking her research, to extend her sympathetic and knowledge of this earliest progress. In so doing she has focused with a deeper insight into various technologies. Follow her on Facebook, Twitter & LinkedIn

Comentarios