После заражения системы банкомата, троян перехватывает нажатия клавиш EPP.
Специалистам компании «Доктор Веб» удалось обнаружить новый образец трояна, деятельность которого направлена системы банкоматов одного из зарубежных производителей. Отметим, что подверженные опасности банкоматы используются на территории Украины и России. В «Доктор Веб» отмечают, что троян сейчас активно используется злоумышленниками.
Вредоносный функционал обнаруженной программы реализуется в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла. Если банкомат также использует систему NTFS, то троян хранит свои данные журналов в потоках. Сюда записываются треки банковских карт и ключи, предназначенные для расшифровки информации.
После заражения системы банкомата, он перехватывает нажатия клавиш EPP (Encrypted Pin Pad) «в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду».
Основными функциями трояна является расшифровка PIN-кодов, хранение лог-файлов на чип картах, удаление троянской библиотеки, файлов журналов, перезагрузка системы (два раза подряд, второй раз – не позднее 10 секунд после первого). Помимо этого, вредоносная программа также способна выводить на дисплей банкомата данные о количестве выполненных транзакций, уникальных карт и пр. Троян при необходимости удаляет все файлы журналов, перезагружает систему и обновляет свои файлы, считывая исполняемые файлы с чип карты.
«Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства», - отмечают специалисты «Доктор Веб».
Трояну удается расшифровывать данные при помощи встроенного ПО банкомата, или же посредством симметричного алгоритма шифрования DES (Data Encryption Standard).
Подробно с отчетом «Доктор Веб» можно ознакомиться здесь.
Источник: securitylab.ru.
| 
