Da haben wir ihn. 3 Jahre nachdem Barnaby Jack seinen fantastischen Vortrag über Malware-Attacken auf Geldautomaten gehalten hat, wurde ein passender Schädling in freier Wildbahn entdeckt.

Die russische Sicherheitsfirma Dr. Web hat den Trojaner.Skimmer.18 in der freien Wildbahn entdeckt. Es ist zwar nicht die erste einer solchen Malware, allerdings die erste, die scheinbar großflächig Geldautomaten infiziert.

Einmal eingespielt, macht sich der Trojaner ans Werk: Er wartet, bis sich ein Nutzer anmeldet und fängt anschließend an, die Karteninformationen auszulesen und zu speichern. Dazu gehören etwa die Karten- und Kontenummern, die Ablaufdaten und die PIN. Laut Dr. Web nutzen die Hersteller zwar eine spezielle Verschlüsselung, um die PIN zu schützen, die Malware kann sie aber aushebeln und die Daten auslesen – und zwar, indem sie die von den Herstellern genutzte Software verwendet. Ziemlich bösartig. Ziemlich clever.

Malware-Kontrolle

Es ist interessant, wie die Kriminellen den Trojaner kontrollieren. Da es scheinbar (noch) nicht gelungen ist, ein Remote-Botnet aufzusetzen müssen sie die Informationen per Hand abgreifen. Das geschieht mit Hilfe von speziell manipulierten MasterCards und unter Ausnutzung des XFS (Extensions for Financal Services). Scheinbar werden die Eingaben auf dem PIN-Pad von der Malware übersetzt und angepasst, so dass die Kriminellen den Trojaner über Zahleneingaben steuern können.

Die Malware kann sich selbst entfernen, gestohlene Daten anzeigen, Log-Dateien löschen, sich selbst aktualisieren oder Applikationen von der Karte starten. Für die Ausgabe der Daten wird der normale Bildschirm genutzt.

Warum geht sowas?

Die meisten Geldautomatenhersteller nutzen eine embedded-Version von Windows – und dann nicht mal die aktuellste, sondern irgendeinen Uraltvariante (die, aber das ist Vermutung, wahrscheinlich nie aktualisiert werden). Dazu hängen sie oftmals im Web (bei uns hoffentlich über VPNs, da bin ich mir aber nicht immer so sicher). Schafft es ein Krimineller an so einen Automaten heran, entweder weil er irgendwo abgeschieden steht oder während der Produktion, können sie sich auf dem Ding ungestraft austoben – so etwas wie einen Antivirus für Geldautomaten gibt es nicht.

Was tun?

Gute Frage – machen kann man nicht viel. Achtet auf die Automaten, nutzt idealerweise solche, die eine Kameraüberwachung oder einen Aufpasse haben. Prüft eure Abbuchungen, meldet Unregelmäßigkeiten sofort eurer Bank. Selbst wenn die Zicken, allein die Idee, dass ihre Geldautomaten mit einem Virus infiziert sein könnten, sollte die Knie der Sicherheitsverantwortlichen schlottern lassen.