Trojan.Skimer.18 заражает банкоматы

«Доктор Веб» предупредила пользователей об активности троянского приложения Trojan.Skimer.18. Вирус предназначен для атаки на банкоматы, выпускаемые одним из крупнейших мировых поставщиков. Троянская программа способна отправлять злоумышленникам данные с пластиковых карт, вставленных в банкомат, включая PIN-код.

Троян Trojan.Skimer.18 – далеко не первый вирус, способный заражать программную часть банкоматов. Однако это одна из первых троянских программ такого типа, атакующая устройства, которые весьма распространены в России.
Утилита представляет собой динамическую библиотеку и запускается из зараженной программы. После активации вредоносный файл выбирает файл журнала, в котором хранит похищенную информацию о проведенных транзакциях.

Стоит отметить, что в целях безопасности банкоматы шифруют вводимый пользователем на клавиатуре PIN-код, при этом ключ периодически изменяется командой с сервера. Утилита Trojan.Skimer.18 способна обходить данный механизм защиты, используя для расшифровки программное обеспечение зараженного банкомата.

Как и в предыдущих версиях вирусов данного класса, для управления вредоносной утилитой используется специальная мастер-карта. Инфицированный банкомат распознает такую карту, помещенную злоумышленником в считыватель, и выводит на дисплей диалоговое окно для управления троянской программой.

Данный интерфейс позволяет злоумышленникам отобразить на экране подробную статистику украденных данных, удалить вирус, перезагрузить банкомат, удалить журнал или изменить режим работы. Также есть возможность обновить версию вредоносного файла, запустив соответствующий код с чипа карты.

Украденная информация при помощи команды может быть перенесена в память мастер-карты. Записи журнала проходят предварительную процедуру сжатия (два этапа).
Схожесть данного вируса с другими аналогичными троянскими приложениями, предназначенными для атаки на банкоматы, позволяет предположить, что у них один автор. В настоящее время сигнатура данного вируса уже занесена в большинство антивирусных баз и успешно определяется соответствующим ПО.

Вы можете оставить комментарий.

Написать комментарий