Un nuevo troyano infecta cajeros automáticos

Trojan.Skimer.18 no es ni mucho menos el primer backdoor creado para infectar software de los cajeros automáticos, pero es el primero en atacar a dispositivos ampliamente disponibles en todo el mundo. El programa malicioso se implementa como una biblioteca de enlace dinámico cargada por una aplicación infectada. Cuando se inicia, el backdoor recoge el nombre del archivo de registro que contendrá la información robada sobre las transacciones. Entonces Trojan.Skimer.18 se mantiene a la espera de una autorización de usuario, después de la cual, lee y guarda los datos de la pista 2, que incluye el número de la tarjeta /cuenta, fecha de caducidad y el código de servicio, así como el código PIN en su archivo de registro.

Es de destacar que, con el fin de mantener la confidencialidad, los fabricantes de cajeros automáticos emplean una tecnología especial que facilita la transmisión encriptada de los códigos PIN introducidos en los cajeros automáticos, y la clave de cifrado se actualiza con regularidad desde el servidor del banco. Trojan.Skimer.18 omite esta protección y usa el software del cajero para descifrar los códigos PIN.

Al igual que en versiones anteriores de troyanos similares, se utilizan tarjetas maestras diseñadas específicamente para controlar el programa. Una vez que un cajero automático infectado reconoce la tarjeta maestra en el lector, se mostrará un cuadro de diálogo del troyano. La interfaz XFS (Extensiones para Servicios Financieros) se utiliza para facilitar la interacción con el operador del intruso. Dado que los cajeros automáticos no cuentan con un teclado de PC totalmente funcional, el troyano utiliza la interfaz XFS para interceptar la entrada de PIN cifrada y muestra los datos introducidos en su ventana, tras lo cual, la información robada también se escribe en el chip de la tarjeta maestra.