Cherry Picker: a bankkártyákra kíváncsi károkozó

A Cherry Picker nevű kártékony program bankkártyák elfogadására képes terminálokat fertőz. Az adatlopás után pedig el is távolítja saját magát a rendszerekről.
 

A Cherry Picker nevű POS malware jelenlétére a Trustwave kutatói figyeltek fel. Megállapították, hogy egy olyan kártékony programról van szó, amely nagyon jól képes rejtőzködni. Mindezt mi sem bizonyítja jobban, mint hogy a legfrissebb hírek szerint a trójai első variánsa 2011-ben fertőzte meg az első POS terminált, vagyis éveken keresztül nem akadt fent a biztonsági cégek hálóin. Mindez elsősorban annak tudható be, hogy meglehetősen szofisztikált technikákat használt, valamint kizárólag célzott támadásokban kapott szerepet. 

A hosszan tartó rejtőzködést ráadásul annak ellenére sikerült elérnie a trójainak, hogy a Trustwave egyes összetevőit már 2011-ben lefülelte. Így például azt a komponenst is, amely AutoIt alapokra épült. Az igazán érdekes összetevő azonban az, amely a memóriából képes kigyűjteni a bank- és hitelkártyákhoz tartozó adatokat. (A trójai legújabb variánsa ehhez a QueryWorkingSet API-t is felhasználja.)

A Cherry Picker - szintén a feltűnés kerülése érdekében - a lehető legkevesebb módosítást igyekszik végrehajtani a kiszemelt rendszereken. Így például nem piszkálja a regisztrációs adatbázist azért, hogy a terminál újraindítása után automatikusan be tudjon töltődni. Ehelyett különféle DLL-állományokba fecskendezi be a kódját. 

Az utólagos vizsgálat sem könnyű

Noha a Cherry Picker meglehetősen kevés nyomot hagy a ténykedése során, még azt a keveset is igyekszik a lehető legjobban megsemmisíteni. Rendelkezik ugyanis egy olyan modullal, amely a saját eltávolítását szolgálja. Ennek segítségével törli a fájljait, a különféle bejegyzéseit, illetve a naplóinformációkat. 

"A Cherry Picker konfigurációs állományokkal, titkosításokkal, kódok összezagyválásával és különféle parancssori argumentumokkal gondoskodik arról, hogy ne kerüljön a biztonsági cégek, alkalmazások látókörébe. A memória újszerű szkennelése, a szofisztikált fájlfertőző modul és a célzottan működő programeltávolító lehetőséget adott arra, hogy a biztonsági közösség hosszú ideig ne figyeljen fel rá" - vélekedtek a Trustwave kutatói. Majd hozzátették, hogy a trójai eddig leginkább vendéglátóhelyeken, éttermekben ütötte fel a fejét, de tulajdonképpen minden olyan vállalkozást sújthat, amely POS alkalmazást is használ.