Malware: Trojaner für Geldautomaten in freier Wildbahn gefunden

Da haben wir ihn. 3 Jahre nachdem Barnaby Jack seinen fantastischen Vortrag über Malware-Attacken auf Geldautomaten gehalten hat, wurde ein passender Schädling in freier Wildbahn entdeckt.

Die russische Sicherheitsfirma Dr. Web hat den Trojaner.Skimmer.18 in der freien Wildbahn entdeckt. Es ist zwar nicht die erste einer solchen Malware, allerdings die erste, die scheinbar großflächig Geldautomaten infiziert.

Einmal eingespielt, macht sich der Trojaner ans Werk: Er wartet, bis sich ein Nutzer anmeldet und fängt anschließend an, die Karteninformationen auszulesen und zu speichern. Dazu gehören etwa die Karten- und Kontenummern, die Ablaufdaten und die PIN. Laut Dr. Web nutzen die Hersteller zwar eine spezielle Verschlüsselung, um die PIN zu schützen, die Malware kann sie aber aushebeln und die Daten auslesen – und zwar, indem sie die von den Herstellern genutzte Software verwendet. Ziemlich bösartig. Ziemlich clever.

Malware-Kontrolle

Es ist interessant, wie die Kriminellen den Trojaner kontrollieren. Da es scheinbar (noch) nicht gelungen ist, ein Remote-Botnet aufzusetzen müssen sie die Informationen per Hand abgreifen. Das geschieht mit Hilfe von speziell manipulierten MasterCards und unter Ausnutzung des XFS (Extensions for Financal Services). Scheinbar werden die Eingaben auf dem PIN-Pad von der Malware übersetzt und angepasst, so dass die Kriminellen den Trojaner über Zahleneingaben steuern können.

Jackpot!
Symbolbild: Barnaby Jack und sein gehackter Geldautomat auf der BlackHat 2010 (nicht die aktuelle Malware in Aktion!)

Die Malware kann sich selbst entfernen, gestohlene Daten anzeigen, Log-Dateien löschen, sich selbst aktualisieren oder Applikationen von der Karte starten. Für die Ausgabe der Daten wird der normale Bildschirm genutzt.

Warum geht sowas?

Die meisten Geldautomatenhersteller nutzen eine embedded-Version von Windows – und dann nicht mal die aktuellste, sondern irgendeinen Uraltvariante (die, aber das ist Vermutung, wahrscheinlich nie aktualisiert werden). Dazu hängen sie oftmals im Web (bei uns hoffentlich über VPNs, da bin ich mir aber nicht immer so sicher). Schafft es ein Krimineller an so einen Automaten heran, entweder weil er irgendwo abgeschieden steht oder während der Produktion, können sie sich auf dem Ding ungestraft austoben – so etwas wie einen Antivirus für Geldautomaten gibt es nicht.

Was tun?

Gute Frage – machen kann man nicht viel. Achtet auf die Automaten, nutzt idealerweise solche, die eine Kameraüberwachung oder einen Aufpasse haben. Prüft eure Abbuchungen, meldet Unregelmäßigkeiten sofort eurer Bank. Selbst wenn die Zicken, allein die Idee, dass ihre Geldautomaten mit einem Virus infiziert sein könnten, sollte die Knie der Sicherheitsverantwortlichen schlottern lassen.

Über Moritz Jaeger

Mo steht für Moritz Jaeger. Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

banner