Специалистам компании «Доктор Веб» удалось обнаружить новый образец трояна, деятельность которого направлена системы банкоматов одного из зарубежных производителей. Отметим, что подверженные опасности банкоматы используются на территории Украины и России. В «Доктор Веб» отмечают, что троян сейчас активно используется злоумышленниками.
Вредоносный функционал обнаруженной программы реализуется в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла. Если банкомат также использует систему NTFS, то троян хранит свои данные журналов в потоках. Сюда записываются треки банковских карт и ключи, предназначенные для расшифровки информации.
После заражения системы банкомата, он перехватывает нажатия клавиш EPP (Encrypted Pin Pad) «в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду».
Основными функциями трояна является расшифровка PIN-кодов, хранение лог-файлов на чип картах, удаление троянской библиотеки, файлов журналов, перезагрузка системы (два раза подряд, второй раз – не позднее 10 секунд после первого). Помимо этого, вредоносная программа также способна выводить на дисплей банкомата данные о количестве выполненных транзакций, уникальных карт и пр. Троян при необходимости удаляет все файлы журналов, перезагружает систему и обновляет свои файлы, считывая исполняемые файлы с чип карты.
«Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства», - отмечают специалисты «Доктор Веб».
Трояну удается расшифровывать данные при помощи встроенного ПО банкомата, или же посредством симметричного алгоритма шифрования DES (Data Encryption Standard).
