Ataki hakerskie na bankomaty nie są częstym zjawiskiem, dlatego też każde nowe, złośliwe oprogramowania tego rodzaju przyciąga uwagę specjalistów od bezpieczeństwa IT. W ostatnich dniach do analityków z firmy Doctor Web trafiła próbka Trojan.Skimer.19, przeznaczonego do infekowania bankomatów. Najnowszy Trojan z rodziny Trojan.Skimer zagraża bankomatom wykorzystywanym przez wiele rosyjskich i ukraińskich banków.
Z danych Doctor Web wynika, że ataki z zastosowaniem Trojan.Skimer.19 nadal trwają.
Podobnie jak we wcześniejszych wersjach, Trojan ten został stworzony jako biblioteka łączona dynamicznie (dynamic link library – dll), przechowywana w strumieniu NTFS innego szkodliwego pliku, wykrywanego przez oprogramowanie antywirusowe Dr.Web jako Trojan.Starter.2971. Jeśli w zainfekowanym systemie używany jest NTFS, Trojan.Skimer.19 również przechowuje swoje pliki dzienników w strumieniach – i zapisuje w nich ścieżki kart bankomatowych, jak również klucze używane do odszyfrowania informacji. Trojan ten wykrada wszystkie dane zapisane na karcie bankomatowej i zapisuje je w swoich logach, co daje przestępcom możliwość wykonania duplikatu karty i dostępu do pieniędzy użytkownika.
Po zainfekowaniu systemu operacyjnego bankomatu, Trojan.Skimer.19 rejestruje naciśnięcia klawiszy na klawiaturze bankomatu (EPP, Encrypted Pin PAD) w oczekiwaniu na specjalną kombinację, dzięki której jest on aktywowany i może wykonywać polecenia hakerów. Polecenia te obejmują m.in.:
- Zapisanie plików do logowania na karcie chipowej, rozszyfrowanie kodów PIN;
- Usunięcie biblioteki trojana, plików dziennika, „wyleczenie” pliku hosta, ponowne uruchomienie systemu;
- Pokazanie na wyświetlaczu bankomatu statystyk podsumowujących liczbę przeprowadzonych transakcji, unikalnych kart, przechwyconych kluczy, itd.;
- Zniszczenie wszystkich plików dziennika;
- Aktualizowanie pliku Trojana.
Ostatnie wersje Trojan.Skimer.19 można aktywować nie tylko za pomocą kodu wybranego na klawiaturze bankomatu, ale również za pomocą specjalnych kart, jak miało to miejsce w starszych wersjach złośliwego oprogramowania z tej rodziny trojanów. Aby odszyfrować dane, Trojan.Skimer.19 używa albo firmware bankomatu, albo własnej implementacji symetrycznego algorytmu szyfrowania DES (Data Encryption Standard), za pomocą przechwyconych i zapisanych wcześniej w dziennikach kluczy.
Eksperci z Doctor Web informują o kilku wariantach biblioteki, która implementuje złośliwą funkcjonalność nowego Trojana, różniących się zestawem realizowanych funkcji. Wszystkie z nich są skutecznie wykrywane i usuwane przez oprogramowanie antywirusowe Dr.Web.