Novi ATM malver može da ''zarobi'' karticu u bankomatu

Opisi virusa, 14.09.2015, 09:00 AM

Istraživači kompanije FireEye otkrili su novi malver za bankomate koji koristi sofisticirane metode tako da može da blokira debitne kartice u bankomatima koje će “osloboditi” jedino kada kriminalci budu mogli da ih preuzmu, tako da ne budu primećeni.

U FireEye su malver nazvali SUCEFUL (Backdoor.ATM.Suceful) zbog toga što su autori malvera pogrešno napisali reč “successful” u poruci koja se prikazuje pošto malver obavi svoj zadatak.

SUCEFUL predstavlja napredak u dizajnu ATM malvera koji su se prvi put pojavili 2013. godine. pomažući kriminalcima širom sveta da prazne bankomate.

SUCEFUL donosi niz funkcionalnosti koje omogućavaju kriminalcima skoro potpunu kontrolu nad bankomatima.

Analiza koda malvera otkrila je da kriminalci mogu inficirati bankomate, bez obzira na to ko je proizvođač bankomata i platformu koju koristi bankomat, i čitati podatke sa crne magnetne trake i sa čipa kartice, blokirati kartice u bankomatima, izbacivati kartice na zahtev, isključivati zaštitne senzore bankomata da se izbegne da malver bude otkriven, i upravljati malverom preko numeričke tastature bankomata.

Malver može da zadrži ili izbaci karticu na zahtev kriminalaca, koji tu njegovu funkcionalnost mogu iskoristiti da ukradu karticu. Na primer, ako kartica nije izbačena, njen vlasnik će verovatno otići da potraži pomoć, a tokom tog vremena kriminalci mogu izbaciti i ukrasti karticu.

Za sada istraživači iz FireEye nisu otkrili kako bi kriminalci mogli da instaliraju malver na bankomatima. Malver je napravljen 25. avgusta, a nedavno je postavljen na VirusTotal iz Rusije, što znači da bi ovo mogla biti tek razvojna faza malvera, kažu istraživači. Oni podsećaju da su prethodne ATM pretnje kao što su Ploutus ili Padpin zahtevale od kriminalaca da otvore bankomat da bi ubacili CD-ROM/USB da bi instalirali malver, ili da angažuju nekog od zaposlenih sa pristupom bankomatu da obavi instalaciju.

Međutim, oni koji su dizajnirali SUCEFUL nisu hakeri koji samo koriste propuste u softveru proizvođača bankomata, već su očigledno dobro upoznati sa dizajnom bankomata zbog čega im je i pošlo za rukom da naprave ovakav malver koji oponaša programe za upravljanje bankomatima.

SUCEFUL radi tako što ima interakciju sa posebnim middlewareom, softverom koji je prisutan u svim bankomatima a to je XFS (eXtensions for Financial Services) Manager.

S obzirom da se hardver bankomata razlikuje u zavisnosti od proizvođača bankomata, kao i softver koji se razlikuje od banke do banke, XSF Manager funkcioniše kao srednji sloj, pružajući API za prevođenje softverskih instrukcija u elektronske signale u hardveru.

Malver se povezuje sa XSF Managerom i preuzima bankomat tako da kriminalci mogu menjati ponašanje bankomata i prilagođavati ga svojim potrebama.