Bankkártyák adatait veszélyezteti az Andromeda hálózat

Az Andromeda botnet olyan károkozásokhoz próbál hozzájárulni, amikhez eddig még nem. Bankkártyák elfogadására alkalmas számítógépeket vett célba.
 

Az Andromeda botnet 2011 környékén kezdett kiterebélyesedni. Azóta egy igen jelentős méretű kártékony hálózattá nőtte ki magát. Azonban nem kizárólag a hozzá kapcsolódó fertőzött számítógépek száma okozza a problémát, hanem az is, hogy a kiberbűnözők körében nagyon népszerű botnet komoly kockázatokat hordozó programok terjedéséhez is hozzájárult már. Így kivette a részét az egyik legismertebb banki trójai, a Zeus terjesztéséből is. Most pedig egy kicsit más vizekre evezett azáltal, hogy egy POS terminálok megfertőzésére alkalmas károkozó terjesztésébe kezdett.
 
A Trend Micro kutatói lettek figyelmesek arra, hogy az eddig még nem ismert, GamaPoS nevű trójai az Andromeda által biztosított erőforrásokat is felhasználja a céljai elérése érdekében. Ez azért is érdekes, mert eddig nem igazán volt jellemző, hogy egy POS-kompatibilis kártevő botneteken keresztül veszélyeztesse a rendszereket. Sokkal inkább az volt megfigyelhető, hogy ezek a malware-ek célzott támadásokban kapnak szerepet. Úgy tűnik azonban, hogy a vírusterjesztők tettek egy próbát, és megnézték, hogy egy általános célú botneten keresztül milyen eredményeket tudnak elérni. A biztonsági cég elemezése azt mutatja, hogy a GamaPoS az Andromedával sújtott számítógépek 3,8 százalékára került fel. Ez az arány első ránézésre nem biztos, hogy soknak tűnik, de a trójai többek között kiskereskedelmi cégek, online üzletek, éttermek és színházak rendszereibe is bejutott. Kezdetben elsősorban az Egyesült Államokban fertőzött, de már Kanadában és egyéb országokban is felütötte a fejét. 
A GamaPoS sok tekintetben hasonlít az eddig már megismert POS-károkozókhoz. A terminálokon futó folyamatok mindegyikét monitorozza, és az azokhoz kapcsolódó memóriaterületek átvizsgálásával próbál bank- és hitelkártyákhoz tartozó adatokhoz jutni. Többnyire Visa, Discovery és Maestro kártyákhoz köthető Track 2 adatokat igyekszik kifürkészni, amelyek felhasználásával a csalók bankkártyákkal történő visszaéléseket követhetnek el. Érdemes megemlíteni, hogy a GamaPoS sok más társától eltérően nem ellenőrzi a kártyaszámok érvényességét, így minden érdekesnek vélt adatot lement egy szöveges fájlba, amit aztán feltölt egy távoli kiszolgálóra.
 
A Trend Micro tájékoztatása szerint a GamaPoS az első olyan POS-malware, amelynek működéséhez szükség van a .Net keretrendszerre. A kutatók úgy vélik, hogy a .Net Framework egyre inkább felkelti a vírusírók érdeklődését, és a jövőben e téren várhatóan csak romlani fog a helyzet. Ezért továbbra is figyelmet kell fordítani a POS terminálok védelmére, és a kártyaelfogadó cégeknek meg kell tenniük azokat az óvintézkedéseket, amelyek révén a vírusfertőzések kockázatát a lehető legkisebbre tudják szorítani.