Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Trojan.Skimer.18 infiziert Bankautomaten

Hanau, 16. Dezember 2013

Der IT-Sicherheitsspezialist Doctor Web warnt vor der Verbreitung von Trojan.Skimer.18, welcher Bankautomaten einer der größten Hersteller infiziert. Der Trojaner ist in der Lage, die PIN und sensible Daten von Kreditkarten, die durch einen infizierten Bankautomaten bearbeitet wurden, an die Übeltäter preiszugeben.

Trojan.Skimer.18 ist nicht der einzige Backdoor-Trojaner, welcher gezielt Bankautomaten attackiert. Der Schädling ist als dynamische Bibliothek implementiert und wird von der infizierten Betriebssoftware ausgeführt. Diese wird so modifiziert, dass Informationen über Kreditkarten-Transaktionen zunächst in eine Datei protokolliert werden.

screen

Sobald Trojan.Skimer.18 den Bankautomaten infiziert hat, wartet er auf die Autorisierung von Kreditkarten-Transaktionen durch Benutzer. Dabei fängt er für kriminelle Zwecke relevante Informationen (Kreditkartenhalter und -laufzeit, Kontonummer, PIN sowie weitere sensible Daten) ab und protokolliert diese in einer Datei. Dabei umgeht Trojan.Skimer.18 das Schutzsystem des Automaten, indem er die PIN durch dessen Betriebssoftware entschlüsseln lässt!

Wie bei vergleichbaren Trojanern üblich wird auch Trojan.Skimer.18 über spezielle Masterkarten gesteuert: Sobald ein infizierter Bankautomat eine Masterkarte erkannt hat, zeigt er einen Dialog zur Verwaltung des Trojaners an. Zur Interaktion mit den Übeltätern wird die XFS-Oberfläche (Extensions for Financial Services) genutzt, da Bankautomaten keine vollständige Tastatur haben. Ebenso dient die XFS-Oberfläche dem Trojaner, um von Benutzern eingegebene PINs (EPP, Encrypted PIN Pad) abzufangen.

screen

Je nach Befehl der Übeltäter kann Trojan.Skimer.18 die Betriebssoftware des Bankautomaten wieder desinfizieren, Statistiken über protokollierte Kreditkarten-Transaktionen abrufen, Protokolldateien löschen, den Bankautomaten neu starten, den Funktionsmodus ändern oder sich selbst (bzw. nur die Bibliothek) aktualisieren. Das Updateverfahren wurde von den Übeltätern visualisiert und kann auf dem Bildschirm des Bankautomaten angezeigt werden.

screen

Auf Befehl werden die protokollierten Kreditkarten-Transaktionen schließlich in komprimierter Form auf die Masterkarte kopiert, um von den Übeltätern später zu kriminellen Zwecken genutzt zu werden.

Die Ähnlichkeit dieses Trojaners zu anderen Backdoor-Trojanern legt nahe, dass diese von einer Person entwickelt wurden. Die Signatur für Trojan.Skimer.18 wurde bereits in die Dr.Web Virendatenbank aufgenommen; er wird jetzt durch Dr.Web Antivirus erkannt und umgehend beseitigt.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden