Backdoor.Ploutus.B - помогает взламывать банкоматы


Backdoor.Ploutus.B (Symantec) - новая вредоносная программа, позволяющая злоумышленникам удаленно контролировать банкомат при помощи подключенного к нему мобильного телефона.

После подключения телефона к банкомату, злоумышленники заражают его вирусом, получая возможность отправлять на этот телефон SMS-сообщения с кодами команд. Получив такое сообщение, телефон преобразовывает команду в сетевой пакет и по USB-кабелю передает банкомату, заставляя его выдавать наличные деньги. И получается, что злоумышленники просто отправляют на зараженный банкомат SMS-сообщение, а затем подходят к нему и забирают вылезающие из него деньги.

Злоумышленники также могут удаленно контролировать банкоматы при помощи мобильного телефона, который предварительно будет подключен к "начинке" банкомата. Подключение может происходит несколькими способами. Так самым распространенным способом, является активация в телефоне режима точки доступа и подключение его к банкомату по USB-кабелю.

Однако, для этих целей злоумышленникам необходимо правильно настроить телефон, а затем подключить его к банкомату с последующим заражением банкомата вирусом Ploutus. Выполнив эти шаги, между банкоматом и телефоном образуется полноценная двухсторонняя связь, после чего можно приступать к изыманию денег.

Стоит отметить, так как телефон подключен к банкомату через USB-порт, то он постоянно находится на зарядке, а значит, может работать на протяжении неопределенного срока.

Так подключив телефон к банкомату, злоумышленники получают возможность отправлять на этот телефон SMS-сообщения с кодами команд. Получив такое сообщение, телефон распознает его как команду, преобразует в сетевой пакет и по USB-кабелю передает банкомату.

Одним из модулей вредоносной программы является анализатор сетевых пакетов – программа, способная отслеживать весь сетевой трафик, идущий на банкомат. И как только зараженный банкомат получает от телефона корректный TCP- или UDP-пакет, этот модуль его анализирует – ищя последовательность 5449610000583686 в определенной части пакета. Найдя искомую последовательность, модуль считывает следующие 16 цифр, из которых и строит команду для запуска Ploutus. Как пример, данная команда может выглядеть следующим образом:

  • cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

В ранних версиях Ploutus, злоумышленники сообщали этот код "курьеру", забирающему деньги. Таким образом последний определял, каким образом работает система, и обманывать вирусописателя. В данной версии Ploutus курьер никогда не видит этих 16 цифр. Это обеспечивает дополнительную безопасность для вирусописателя и позволяет централизованным образом контролировать забор денег. При этом код действует в течение 24 часов.