Nowy trojan infekuje bankomaty
Specjaliści z firmy antywirusowej Doctor Web ostrzegają przed złośliwym oprogramowaniem o nazwie Trojan.Skimer.18, przeznaczonym do kradzieży danych z kart bankomatowych. Używający tego malware przestępcy obrali sobie za cel bankomaty pochodzące od jednego z największych producentów tego typu urządzeń.
Trojan.Skimer.18 nie jest pierwszym backdoorem infekującym oprogramowanie bankomatów, ale jest pierwszym malware na taką skale atakującym urządzenia zlokalizowane na całym świecie. Został stworzony jako biblioteka łączona dynamicznie (dynamic link library - dll), ładowana przez zainfekowaną aplikację.
Po autoryzacji użytkownika, Trojan.Skimer.18 odczytuje i zapisuje w swoim logu informacje z tzw. drugiej ścieżki zapisu na pasku magnetycznym karty (zawierające jej numer, datę ważności i trzyznakowy kod usługi powiązany z kartą, określający sposób rozliczenia transakcji, przetwarzania autoryzacji użytkownika i zakres dostępnych usług) oraz kod PIN karty. Producenci bankomatów stosują specjalną technologię, która umożliwia szyfrowaną transmisję kodów PIN wprowadzanych do bankomatu, a klucz szyfrujący jest regularnie uaktualniany przez serwer banku. Trojan.Skimer.18 omija to zabezpieczenie i wykorzystuje oprogramowanie bankomatu do rozszyfrowania kodów PIN.
Podobnie jak we wcześniejszych wersjach tego rodzaju Trojanów, tak i tu do kontrolowania programu używana jest odpowiednio spreparowana karta. Gdy tylko zainfekowany bankomat wykryje taką kartę w swoim czytniku, wyświetli okno dialogowe Trojana. Do zapewnienia intruzowi kontroli nad urządzeniem używany jest interfejs XFS (Extensions for Financial Services - interfejs służący do wymiany danych między bankomatem, a systemami finansowymi). Ponieważ bankomaty nie posiadają w pełni funkcjonalnej klawiatury PC, Trojan używa interfejsu XFS do przechwytywania zaszyfrowanych danych wprowadzanych z klawiatury numerycznej bankomatu i wyświetla je w swoim oknie.
Po wydaniu odpowiedniej komendy, skradzione informacje są również zapisywane na karcie użytej przez intruza, po uprzedniej, dwuetapowej kompresji.
"Opisywany backdoor jest bardzo podobny do innych złośliwych programów, atakującego bankomaty, co pozwala przypuszczać, że zostały one napisane przez tę samą osobę. Sygnatura Trojan.Skimer.18 została już dodana do baz wirusów Dr.Web, jest on więc skutecznie wykrywany i neutralizowany przez nasze oprogramowanie, w tym przez program ochraniający bezpośrednio bankomaty, tj. Dr.Web ATM Shield" - mówi specjalistka Doctor Web, Joanna Schulz-Torój.