Otkriven GreenDispenser, novi malver koji krade novac sa bankomata

Opisi virusa, 28.09.2015, 01:00 AM

Istraživači iz firme Proofpoint otkrili su novi malver koji inficira bankomate i omogućava kriminalcima da izvuku gotovinu na komandu.

Program je nazvan GreenDispenser i otkriven je u Meksiku. Međutim, samo je pitanje vremena kada će slične napade izvesti sajber kriminalci u drugim delovima sveta, upozoravaju istraživači Proofpointa.

GreenDispenser nije prvi maliciozni program koji inficira bankomate. U oktobru 2013. istraživači Symanteca su upozorili na backdoor nazvan Ploutus koji može da inficira bankomate kada se novi boot disk ubaci u njihov CD-ROM.

Prva verzija Ploutusa omogućavala je kriminalcima da izvuku novac iz bankomata uz pomoć posebnih komandi unetih preko PIN ili eksterno povezanih tastatura. Druga verzija ovog malvera koja je otkrivena u martu prošle godine, imala je mogućnost da šalje tekstualne poruke bankomatu da bi kriminalci mogli da izvuku novac.

Kao i GreenDispenser, i Ploutus je prvi put otkriven u Meksiku, ali druga verzija ovog malvera imala je englesku lokalizaciju, što je ukazivalo da su kriminalci planirali napade i u drugim zemljama.

Ideja je prihvaćena i od strane drugih kriminalaca, pa su tako istraživači iz Kaspersky Laba u oktobru prošle godine upozorili na maliciozni program nazvan Tyupkin ili Padpin koji je korišćen za infekciju više od 50 bankomata koji pripadaju bankama u istočnoevropskim zemljama.

Ranije ovog meseca, istraživači iz kompanije FireEye otkrili su još jedan malver za bankomate, koji je nazvan Suceful, i čija je primarna namena da "zarobi" kartice klijenata banaka u bankomatima i da ih zatim “pušta” kada za to dobije komandu napadača.

Svi ovi incidenti, kao i pojava još jednog novog malvera koji cilja bankomate ukazuju da su napadi na bankomate širom sveta sve učestaliji, i da je jedan od razloga i sve veća upotreba kartica sa čipovima koji otežavaju kopiranje kartica.

Kao i drugi ATM malveri, i GreenDispenser verovatno zahteva da napadač ima fizički pristup bankomatu, što znači da je potrebno ili kompromitovati fizičku bezbednost bankomata ili da je kriminacima neophodna pomoć insajdera.

Kada se instalira, malver se povezuje sa XFS (eXtensions for Financial Services) middlewareom koji je implementiran na mnogim bankomatima sa Windows platformom. XFS omogućava interakciju između softvera i perifernih uređaja bankomata, kao što je PIN pad ili otvor za izbacivanje novca.

Kada je GreenDispenser aktivan, ekran bankomata će prikazati poruku da trenutno bankomat nije u funkciji. I dok regularni klijenti banke neće moći da koriste bankomat, kriminalci mogu zaobići ovu grešku ukucavajući PIN koji je hardkodovan u malveru.

Zanimljivo je da GreenDispenser koristi neku vrstu dvofaktorne autentifikacije. Nakon unošenja hardkodovanog PIN koda, bankomat će prikazati QR kod, koji kriminalci verovatno skeniraju mobilnom aplikacijom da bi dobili drugi, dinamički generisani PIN.

Drugi PIN otključava meni za interakciju na bankomatu koji daje napadačima kontrolu nad bankomatom. Druga opcija na meniju omogućava kriminacima da deinstaliraju malver i to na taj način da osigurava brisanje i otežava forenzičkim timovima da kasnije dođu do obrisanih informacija.

Istraživači Proofpointa kažu da je ovo “praskozorje” nove kriminalne industrije koja cilja bankomate i da ćemo tek videti nove malvere ove vrste. Oni preporučuju bankama da preispitaju postojeće mere zaštite bankomata i da razmotre primenu modernih zaštitnih mera kako bi se bankomati i klijenti zaštitili od ovakvih pretnji.