Российские банкоматы атакованы троянской программой

Компания «Доктор Веб» предупредила о том, что в России получила распространение троянская программа Trojan.Skimer.18. Известный российский производитель антивирусных средств защиты информации при этом отмечает, что цель злоумышленников, которые разработали это вредоносное приложение, — банкоматы, изготовленные одним из крупнейших мировых производителей. 

 

Данная троянская программа может перехватить, а потом и передать злоумышленникам важные данные. Речь идет о данных банковских карт, которые обрабатываются инфицированным банкоматом. В том числе похищается и информация, которая хранится на карте, и секретный PIN-код.

 

Эксперты отмечают, что Trojan.Skimer.18 — это не первый бэкдор, который способен инфицировать программное обеспечение банкоматов. Впрочем, это первый из троянцев такого типа, который ориентируется на устройства, очень распространенные в нашей стране. 

 

Стоит только Trojan.Skimer.18 попасть в операционную систему инфицированного банкомата, как он сразу после авторизации пользователя начинает считывать и сохранять в файл журнала Track2, то есть хранящиеся на карте данные, включающие номер карты (счета), дату окончания срока действия карты, сервисный код и другую важную информацию, а также PIN-код. 

 

Есть интересный нюанс. Чтобы сохранить конфиденциальность, разработчиками банковского оборудования применяется специальная технология. При этом ключ шифрования постоянно обновляется с банковского сервера. Так вот, Trojan.Skimer.18 эту защиту обходит.

 

В Trojan.Skimer.18, как и в иных версиях подобных троянцев-бэкдоров, известных ранее, управление вредоносной программой происходит с использованием мастер-карт, которые подготовлены специальным образом. Сразу после того, как инфицированный банкомат опознал мастер-карту, помещенную в считыватель, на дисплее можно увидеть окно управления вредоносной программой. 

 

Стоит только злоумышленнику подать команду Trojan.Skimer.18, как он может «вылечить» систему банкомата, в которой блуждает инфекция. Он может вывести на экран статистику по данным, которые похищены. Он может не только удалить файл журнала, но и перезагрузить банкомат. Как и установить новый режим его работы или обновить версию. 

 

Все данные, которые похитил троянец, записываются по команде «оператора» на чип мастер-карты. Причем информация из файла журнала поначалу проходит процедуру сжатия, которая состоит из двух этапов.

 

Эта троянская программа очень напоминает многие другие вредоносные программы, предназначение которых в том, чтобы заражать банкоматы. Вот почему эксперты пришли к выводу о том, что автор этих программ – один и тот же человек. Сигнатуру Trojan.Skimer.18 уже добавили в вирусные базы. Эту вредоносную программу обнаружить нетрудно. А удалить ее можно антивирусным ПО.