Троян атакует российские банкоматы. Не исключено заражение белорусских ATM

Юргис Думбляускас, Interfax.by

О распространении троянской программы на одну из наиболее распространенных в России моделей банкоматов предупредили эксперты "Доктор Веб".

Представители антивирусной компании не называют конкретных ATM, входящих в группу риска, однако в беседе с обозревателем портала Interfax.by ООО "Доктор Веб" Кирилл Леонов подтвердил, что троян представляет опасность для весьма распространенных в России банкоматов производства одного из крупнейших мировых производителей, и что теоретически угроза может затрагивать также белорусские банковские автоматы.

Троян способен перехватывать и передавать злоумышленникам данные банковских карт, обрабатываемые инфицированным банкоматом, включая хранящуюся на карте информацию и секретный PIN-код, говорится в сообщении "Доктор Веб".

Trojan.Skimer.18, реализованный в виде динамической библиотеки, запускается из инфицированного приложения. После этого вредоносная программа выбирает имя файла журнала для хранения похищенной информации о транзакциях.

Запустившись в операционной системе инфицированного банкомата, Trojan.Skimer.18 ожидает авторизации пользователя, после чего считывает и сохраняет в файл журнала Track2 (хранящиеся на карте данные, включающие номер карты (счета), дату окончания срока действия карты, сервисный код и другую важную информацию), а также PIN-код.

В целях сохранения конфиденциальности разработчики банковского оборудования используют специальную технологию, благодаря которой вводимый пользователем PIN-код передается банкомату в зашифрованном виде, при этом ключ шифрования регулярно обновляется с банковского сервера. Trojan.Skimer.18 обходит эту защиту, расшифровывая PIN-код средствами ПО банкомата.

Управление трояном осуществляется с помощью специальным образом подготовленных мастер-карт. Когда инфицированный банкомат опознает помещенную в считыватель мастер-карту, на дисплее появляется диалоговое окно управления вредоносной программой.

Поскольку банкоматы не оборудованы полноценной клавиатурой, с использованием интерфейса XFS троянец перехватывает нажатия клавиш PIN-пада (EPP, Encrypted PIN Pad) и транслирует их в собственное окно.

По команде злоумышленников Trojan.Skimer.18 может "вылечить" инфицированную систему банкомата, вывести на экран статистику по похищенным данным, удалить файл журнала, перезагрузить банкомат, изменить режим своей работы или обновить свою версию (либо только вредоносную библиотеку), запустив соответствующее приложение, которое считывается с чипа мастер-карты.

Похищенные трояном данные также записываются по команде "оператора" на чип мастер-карты и в дальнейшем используются злоумышленниками для хищения денежных средств со счетов пользователей зараженных банкоматов.

Новости по теме

Новости других СМИ