Троянец перехватывает данные банковских карт через зараженные банкоматы
Предупреждаем пользователей о выявлении распространения трояна Trojan.Skimer.18, основной мишенью которого являются банкоматы, причем не все, а только одного из производителей, наименование которого не раскрывается. Троян обучен перехвату данных банковских карточек (включая секретный PIN) и передаче этих данных злоумышленникам.
Trojan.Skimer.18.
Skimer.18 — отнюдь не первый троянец, «заточенный» под заражение ПО банкоматов, но это первый банковский бэкдор, сориентированный на банковские устройства, имеющие наибольшее распространение в РФ.
Зловредная программа, реализована в формате динамической библиотеки, запускающейся из инфицированной программы.
Запустившись в операционке инфицированного банкомата, Skimer.18 дожидается авторизации пользователя и затем считывает и отправляет в журнал Track2 имеющиеся на карточке данные, о номере карты, PIN-коде, времени ее действия, коде сервиса и проч. Кстати, троянец умеет обходить защиту, зашифровывающую сообщаемый пользователей банкомату PIN-код, путем расшифровывания кода средствами ПО самого банкомата.
Управление.
Управление Skimer.18 происходит посредством специально изготовленных мастер- карт и как только зараженный банкомат распознает помещенную в него такую мастер-карту, в дисплее выводится окно для осуществления управления зловредом. При этом в целях осуществления интерактивного контакта оператором киберзлоумышленниками применяется интерфейс XFS.
Так как банкоматы не имеют полноценной клавиатуры, использующей интерфейс XFS, вредонос считывает нажатия PIN-пада и транслирует эти нажатия в свое окно. Украденные данные по командам «модератора» троянец записывает на чипсет мастер-карты. Записываемая информация при этом подвергается двухэтапной процедуре сжатия.
Skimer.18 умеет также «вылечить» инфицированный банкомат и вывести на его дисплей статистику похищенных данных, перезагрузить банкомат, удалить свой файл, обновиться до последней версии или изменить свой режим работы.