Trojan.Skimer.18 заражає банкомати

Компанія «Доктор Веб» попереджає про поширення троянської програми Trojan.Skimer.18. Метою зловмисників, які розробили цей шкідливий додаток, стали банкомати виробництва одного з найбільших світових виробників. Троянець здатний перехоплювати і передавати зловмисникам дані банківських карт, обробка інфікованим банкоматом, включаючи зберігається на карті інформацію і секретний PIN-код.

Trojan.Skimer.18 - не перший бекдор, здатний інфікувати програмне забезпечення банкоматів, проте перший з троянців такого типу, орієнтований на пристрої, які, за даними з відкритих джерел, є досить поширеними. Шкідлива програма, реалізована у вигляді динамічної бібліотеки, запускається з інфікованої програми, після чого вибирає ім'я файлу журналу для зберігання викраденої інформації про транзакції.

Запустившись в операційній системі інфікованого банкомату, Trojan.Skimer.18 очікує авторизації користувача, після чого зчитує і зберігає у файл журналу Track2 (які зберігаються на картці дані, що включають номер картки (рахунки), дату закінчення терміну дії картки, сервісний код та іншу важливу інформацію), а також PIN-код. Примітно, що в цілях збереження конфіденційності розробники банківського обладнання використовують спеціальну технологію, завдяки якій введений PIN-код передається банкомату в зашифрованому вигляді, при цьому ключ шифрування регулярно оновлюється з банківського сервера. Trojan.Skimer.18 обходить цей захист, розшифровуючи PIN-код засобами ПО банкомату.

Як і в більш ранніх версіях подібних троянців-бекдорів, управління шкідливою програмою здійснюється за допомогою спеціальним чином підготовлених майстер-карт. Як тільки інфікований банкомат пізнає вміщену в зчитувач майстер-карту, на дисплеї з'являється діалогове вікно управління троянцем, при цьому для реалізації інтерактивної взаємодії з оператором-зловмисником використовується інтерфейс XFS (Extensions for Financial Services). Оскільки банкомати не обладнані повноцінною клавіатурою, з використанням інтерфейсу XFS троянець перехоплює натиснення клавіш PIN-пада (EPP, Encrypted PIN Pad) і транслює їх у власне вікно.

По команді зловмисників Trojan.Skimer.18 може «вилікувати» інфіковану систему банкомату, вивести на екран статистику по викраденим даними, видалити файл журналу, перезавантажити банкомат, змінити режим своєї роботи або оновити свою версію (або тільки шкідливу бібліотеку), запустивши програму, яка зчитується з чіпа майстер-карти. При цьому процедуру оновлення вірусописьменники візуалізували за допомогою апаратних індикаторів зчитувача банківської карти і демонстрованого на дисплеї банкомату індикатора процесу.

Викрадені троянцем дані записуються по команді «оператора» на чіп майстер-карти, при цьому інформація з файлу журналу попередньо проходить двоетапну процедуру стиснення.