Trojan.Skimer.18 похищает данные из банкоматов


Trojan.Skimer.18 - троянская программа, разработанная для перехвата и последующей передачи данных банковских карт, полученных через инфицированный банкомат.

Trojan.Skimer.18 — вредонос, реализованный в виде динамической библиотеки, которая запускается из инфицированного приложения, после чего выбирает имя файла журнала для хранения похищенной информации о транзакциях.

Запустившись в операционной системе инфицированного банкомата, Trojan.Skimer.18 ожидает, когда пользователь авторизуется, а затем считывает и сохраняет в файл журнала Track2 (хранящиеся на карте данные, включающие номер карты (счета), дату окончания срока действия карты, сервисный код и другую важную информацию), а также PIN-код.

Для справки, в целях сохранения конфиденциальности разработчики банковского оборудования используют специальную технологию. Благодаря ей, вводимый пользователем PIN-код передается банкомату в зашифрованном виде, при этом ключ шифрования регулярно обновляется с банковского сервера.

Вредонос, разработанный злоумышленниками, наделен функционалом, позволяющим обходит эту защиту, расшифровывая PIN-код средствами ПО банкомата.

Управление вредоносной программой происходит при помощи специальным образом подготовленных мастер-карт. Как только инфицированный банкомат опознает помещенную в считыватель мастер-карту, на дисплее появляется диалоговое окно управления трояном. Для реализации интерактивного взаимодействия с оператором-злоумышленником используется интерфейс XFS (Extensions for Financial Services). Поскольку банкоматы не оборудованы полноценной клавиатурой, троян перехватывает нажатия клавиш PIN-пада (EPP, Encrypted PIN Pad) используя интерфейс XFS, затем транслирует их в собственное окно.

По команде злоумышленников Trojan.Skimer.18 может:

  • "вылечить" инфицированную систему банкомата;
  • вывести на экран статистику по похищенным данным;
  • удалить файл журнала;
  • перезагрузить банкомат;
  • изменить режим своей работы;
  • обновить свою версию (либо только вредоносную библиотеку), запустив соответствующее приложение, которое считывается с чипа мастер-карты.


Процедуру обновления вирусописатели визуализировали при помощи аппаратных индикаторов считывателя банковской карты и демонстрируемого на дисплее банкомата индикатора процесса.

Похищенные трояном данные также записываются по команде "оператора" на чип мастер-карты, при этом информация из файла журнала предварительно проходит двухэтапную процедуру сжатия.