Malware kopiert Kartendaten

Russische Geldautomaten mit Trojaner infiziert

In Russland wurden Geldautomaten anscheinend Malware infiziert. Das Trojanischen Pferd soll Programmierschnittstellen nutzen, um Karteninformationen zu kopieren.

Geldautomaten enthalten Computer, die je nach Gerätetyp mit unterschiedlichen Betriebssystemen laufen. Einige nutzen auch Windows, meist eine angepasste Version von Windows Embedded. Übliche Windows-Malware sollte auf solchen Geräten nicht viel anrichten können, es scheint jedoch spezialisierte Schädlinge zu geben, die zumindest mit einem bestimmten Geldautomatentyp umgehen können. Unklar ist jedoch bislang, wie sie in das Gerät gelangen.

Der US-amerikanische Automatenhersteller Diebold hat ein Sicherheits-Update für seine Opteva-Geldautomaten an seine Kunden verteilt, die Windows als Betriebssystem einsetzen. Der Hersteller reagiert damit auf Vorfälle in Russland, wo bereits im Januar eine nicht genannte Zahl von Geldautomaten entdeckt wurden, die mit einem speziellen Trojanischen Pferd verseucht waren.

Vanja Svajcer vom britischen Antivirushersteller Sophos berichtet in dessen Blog über die mutmaßlich eingeschleuste Malware. Er hat in der großen Menge der in letzter Zeit eingegangenen Malware-Dateien nach Schädlingen, die Bezüge zu Diebold enthalten. Er hat drei Dateien gefunden und näher untersucht. Es handelt sich um untereinander recht ähnliche Varianten eines Trojanischen Pferds, die spezielle, undokumentierte Funktionen der Diebold-Software ansprechen. Die älteste Varinate stammt aus dem November 2008.

Der Schädling namens "Troj/Skimer-A" manipuliert laufende Prozesse im Geldautomaten, spricht den Kartenleser sowie die Tastatur an und verarbeitet Transaktionen in russischer, ukrainischer und amerikanischer Währung. Er kann außerdem einen angeschlossenen Drucker nutzen, vermutlich um die ausspionierten Daten auszudrucken.

Der Programmierer müsse über gute Kenntnisse über Interna dieser Geldautomaten verfügen, meint Svajcer. Außerdem sei ein direkter Zugriff auf das Gerät erforderlich, um die Malware zu installieren. Schließlich verfüge ein Geldautomat nicht über von außen zugängliche Wechsellaufwerke oder USB-Schnittstellen, die zum Einschleusen von Code genutzt werden könnten.

Weder Diebold noch Sophos können oder wollen nähere Angaben darüber machen, wie die Täter vorgegangen sind, um ihre Programme zu installieren. Diebold weist seine Kunden jedoch auf mehrere mögliche Ursachen für das Problem hin, darunter kompromittierte Administratorkennwörter, die Nichtverwendung der von Diebold bereit gestellten, speziell angepassten Windows-Version oder eine Fehlkonfiguration der enthaltenen Symantec-Firewall. (PC-Welt/mja)