Pénzt köpködnek a fertőzött bankautomaták

Egy újabb bankautomatákat fertőző vírus látott napvilágot, amely csak arra vár, hogy az összes pénzt a csalók kezébe szórhassa.
 

A bankautomaták megannyi támadással szemben kell, hogy állják a sarat. A lehetőségekhez képest épp úgy meg kell birkózniuk a fizikai rongálással járó károkozásokkal, mint a logikai (szoftveres) úton elkövetett nemkívánatos eseményekkel.
 
A kiberbűnözők sokféle módszert alkalmaznak a banki adatok megszerzéséhez, illetve a bankszámlák lemellesztéséhez. A leggyakrabban adatlopásra alkalmas kártékony programokat vetnek be, amelyek nem egy esetben bank- és hitelkártyák elfogadására alkalmas terminálokra is felkerülnek, így a kártyás fizetések alkalmával azonnal képesek kiszivárogtatni az értékes információkat. Ennél azonban egyszerűbb számukra, ha odamennek egy ATM-hez, megnyomnak pár gombot, és a bankautomata szó nélkül kiadja a benne található összes pénzt. Ez utóbbit segíti elő a nemrégen felfedezett GreenDispenser nevű kártevő.
 
A GreenDispenser korántsem az első olyan kártékony program, amely bankautomatákat szemel ki magának. Emlékezhetünk a 2013-ban Mexikóban felbukkant Ploutus trójaira, vagy a tavaly debütált Tyupkin nevű malware-re, amely több tucat automatára került fel elsősorban Kelet-Európában. (A GreenDispenser trójai leginkább a Tyupkinra hasonlít, de annál azért már fejlettebb módszereket alkalmaz.)  
Az új kártevőt először a Proofpoint biztonsági kutatói fülelték le. A vizsgálatuk során megállapították, hogy a malware elsősorban Mexikóban terjed, de viszonylag egyszerűen átalakítható olyan módon, hogy a világ bármely más régiójában megállja a helyét. A GreenDispenser az úgynevezett XFS (eXtensions for Financial Services) architektúrának megfelelően került kialakításra, ami egy széles körben elterjedt technológia az ATM-ek világában. Ez egy olyan köztesréteget biztosít, amelyen keresztül a szoftverek elérhetik a bankautomata különféle hardveres összetevőt, így például a PIN-kód megadására szolgáló billentyűzetet, illetve a bankjegyek kezeléséért, kiadásáért felelős komponenseket is.
 
Így nyúlható le a pénz a kártékony program segítségével

A GreenDispenserrel történő fertőzéshez szükség van arra, hogy a támadók fizikailag hozzáférjenek a kiszemelt ATM-hez. Amennyiben arra fel tudják tölteni a trójai kódját, akkor onnantól kezdve az automata billentyűzetének segítségével vezérelhetik. A jelenlegi variáns a következő kombinációkat ismeri:
1 - a pénz kiadása
8 - a károkozó eltávolítása
88 - kényszerített, azonnali törlés/eltávolítás
9 - a trójai működésének felfüggesztése.
 
Arra azonban nem kell számítani, hogy éppen egy ilyen módon fertőzött ATM-be botlunk, és ha megnyomjuk az 1-es gombot, akkor rögtön az ölünkbe hullik a pénz. A kártékony program ugyanis kétfaktoros azonosítással van ellátva. Ez azt jelenti, hogy a támadóknak először meg kell adniuk egy olyan jelszót, amit a károkozó forráskódja is tartalmaz. Ezt követően egy QR-kód jelenik meg a képernyőn, amit dekódolva még egy bejelentkezési adatot kell beírni. Ha ez is helyes, akkor jöhet az 1-es gomb.  
A GreenDispenser fertőzésének egyik feltűnő jelensége, hogy a kompromittált automatákon esetenként spanyol vagy angol nyelven az olvasható, hogy az ATM átmenetileg nem működik. Pedig nagyon is működőképes, csak éppen a tolvajok utasításaira vár.
 
„Az ATM kompatibilis kártékony programok folyamatosan fejlődnek, és egyre több olyan funkcióval gyarapodnak, amik a rejtett működésüket szolgálják” - nyilatkozta Thoufique Haq, a Proofpoint szakértője. Haq ezzel arra utalt, hogy a GreenDispenser a támadók utasítására a lehető legalaposabban igyekszik eltüntetni a nyomait, és ezzel megnehezíteni az esetleges nyomozásokat.