Neue Skimmer-Version entdeckt
Geldautomaten-Knacker rüsten auf
Vor einer neuen und verbesserten Version der für Angriffe auf Bankautomaten spezialisierten Malware Skimmer warnt jetzt Kaspersky Lab. Die neue Schadsoftware verwischt ihre Spuren wesentlich wirkungsvoller als ihr Vorgänger.
Kaspersky Lab hat eine neue Version von Skimmer entdeckt, die wesentlich wirkungsvoller arbeiten soll als ihr Vorgänger. Dahinter steht nach Einschätzung des Sicherheitsunternehmens eine russischsprachige Gruppe, die mithilfe der Manipulation von Bankomaten Geld der Nutzer stiehlt. Skimmer tauchte erstmalig im Jahr 2009 auf. Sieben Jahre später haben sich offenbar sowohl die Gauner als auch das Schadprogramm weiterentwickelt, wie das Sicherheitsunternehmen bei der Untersuchung eines Bankautomaten festgestellt hat. Dabei wurden Spuren einer verbesserten Version der Skimmer-Malware gefunden. Das Besondere: Die dort eingeschleuste Malware blieb inaktiv, bis sie einen Befehl zur Aktivierung erhielt. Ein cleverer Weg, um Spuren zu verwischen.
Die Skimmer-Gruppe startet ihre Operationen, indem sie sich Zugang zu einem Geldautomatensystem verschafft. Das funktioniert entweder physisch oder über das interne Netzwerk der Bank. Die Infektion des Bankautomaten erfolgt nach der Installation von »Backdoor.Win32.Skimer«. Danach haben die Kriminellen die komplette Kontrolle über den infizierten Geldautomaten. Aber sie gehen vorsichtig vor. Anstatt einfach ein so genanntes Skimming-Gerät zu installieren – also ein betrügerisches Imitat über das eigentliche Lesegeräts zu setzen –, um Kartendaten abzuschöpfen, verwandeln sie den kompletten Automaten in ein Skimming-Gerät. Denn sobald ein Geldautomat mit der Schadsoftware infiziert ist, haben Kriminelle freie Bahn. Sie können sowohl die Automat befindlichen Geldmittel abzuheben als auch die Kartendaten abzufangen, die am Geldautomaten genutzt werden – inklusive der Kontonummer und des PIN-Codes der Bankkunden. Das Gefährliche: Ein derart infizierter Automat ist kaum zu erkennen. Denn anders als bei bisher bekannten Skimming-Geräten fehlt dabei jedes physische Anzeichen einer Manipulation.
Lange unentdeckt
Um nicht entdeckt zu werden, wird der Schädling nicht sofort aktiv und gibt sich auch später kaum zu erkennen. Um einen Geldautomaten-Zombie zu aktivieren, nutzen die Kriminellen eine spezielle Karte mit bestimmten Aufzeichnungen auf dem Magnetstreifen. Beim Lesen dieser Aufzeichnungen kann Skimmer entweder einen festprogrammierten Befehl ausführen oder einen Befehl über ein spezielles Menü anfordern, das über die Karte aktiviert wird. Die grafische Benutzeroberfläche von Skimmer erscheint nur auf dem Automatenbildschirm, nachdem die Karte ausgeworfen wurde und der Kriminelle den richtigen Sitzungsschlüssel auf der PIN-Tastatur in einer speziellen Form und in weniger als 60 Sekunden eingibt. Durch dieses Menü können die Gangster 21 verschiedene Befehle zu aktivieren, beispielsweise die Auszahlung von Geld (40 Banknoten von einer ausgewählten Kassette), das Sammeln von Daten eingeführter Karten, die Selbstlöschung oder das Empfangen von Updates des aktualisierten Malware-Codes, der auf dem Kartenchip enthalten ist. Darüber hinaus kann Skimmer die Datei mit den gesammelten Kontendaten und PIN-Nummern auf dem Chip derselben Karten speichern oder die gesammelten Kartendetails über die Kontoauszugsfunktion des Automaten ausdrucken.
In den meisten Fällen warten aber die Kriminellen jedoch ab und sammeln die Daten der Bankkarten, um damit später Kopien dieser Karten zu erstellen. Mit einer derartigen Kartenkopie können sie dann an einem anderen, nicht infizierten Automaten das Geld vom entsprechenden Kundenkonto einfach abheben.
Lesen Sie mehr zum Thema
