Bankomat nie posiada jednak interfejsu umożliwiającego atak. Naruszenie więc integralności oprogramowania bez otwierania urządzenia jest bardzo trudne. Jedynym praktycznie dostępnym sposobem infekcji jest zamknięta sieć VPN (lub połączenie modemowe) łącząca bankomaty z resztą infrastruktury operatora albo dostęp do samego bankomatu w trybie serwisowym. To ostatnie wcale nie jest proste dla intruza, gdyż urządzenie posiada czujniki nieautoryzowanego otwarcia i naruszenia konstrukcji. Bardzo często bankomaty wykorzystują również niestandardowy sprzęt, który wymaga specjalizowanych sterowników i dedykowanego oprogramowania.

Sposób ataku

Odkryte próbki malware były analizowane w laboratoriach firmy Sophos. Inżynierowie stwierdzili, że dostarczone pliki wyglądały podobnie, ale nie zawierały niczego, co umożliwiłoby automatycznie wykrycie ich jako malware. Fakt przygotowania specjalizowanego oprogramowania przeznaczonego do infekcji konkretnych bankomatów potwierdziła firma Trustwave, raport jest dostępny na jej stronach. Plik wykonywalny jest de facto dropperem napisanym w języku Borland Delphi, który po instalacji za pomocą typowych narzędzi, modyfikuje usługę systemową Windows o nazwie Protected Storage, aby uruchamiać podstawiony do katalogu C:\WINDOWS plik lsass.exe zamiast oryginalnego, z foldera System32 i ustawia odpowiednio uprawnienia. Aplikacja modyfikuje także pliki oprogramowania bankomatu.

Aplikacja wstrzykuje kod do odpowiednich obszarów pamięci, aby przejąć kontrolę nad informacjami przesyłanymi przez składniki oprogramowania ATM i przejmuje informacje z paska magnetycznego wkładanych kart płatniczych. Oczekiwanymi informacjami są dane z drugiej ścieżki kart płatniczych. Jeśli włożona została specjalna karta, oprogramowanie wyświetli ukryte dotąd menu. W przeciwnym przypadku, program zapisze informacje transakcyjne w tymczasowym pliku w katalogu C:\WINDOWS. Malware przechwytuje nie tylko informacje z karty, ale także PIN oraz informacje o stanie konta w trzech walutach: amerykańskich dolarach, ukraińskich hrywnach oraz rosyjskich rublach. Pobrane dane są przechowywane w plikach tymczasowych, a następnie mogą być wydrukowane w zaszyfrowanej postaci na wbudowanej drukarce potwierdzeń. Przy szyfrowaniu tych danych, trojan wykorzystuje algorytm DES.

Ponieważ przestępcy chcą, aby ich trojan pozostał niezauważony, wykorzystują mechanizm aktywacji "pirackich" opcji przez specjalnie przygotowaną kartę. Po jej włożeniu, oprogramowanie wyświetla menu, w którym można wyczyścić logi systemowe oraz keyloggera, deinstalować trojana, wyświetlić statystyki, przetestować drukarkę, wydrukować przechwycone dane, wypłacić pieniądze z kasetki bankomatu po dodatkowej autoryzacji, a także restartować system bankomatu. W programie wbudowano również nieznane jeszcze procedury, które umożliwiają zapis danych na kartę magnetyczną.

Nawet karta z mikroprocesorem nie jest w pełni bezpieczna, gdyż taka karta również zawiera pasek magnetyczny i za jej pomocą można dokonać transakcji po wykonaniu duplikatu paska i wprowadzeniu skradzionego kodu PIN. Należy jednak dokonać tego nadużycia w bankomacie, który jeszcze nie posiada czytnika mikroprocesorowego, przeznaczonego do obsługi karty chipowych. Badane przez firmę Trustwave pliki pochodzą prawdopodobnie ze stosunkowo wczesnej wersji złośliwego oprogramowania, najprawdopodobniej w użyciu jest już nowsza wersja, wyposażona w większą ilość opcji.

Współpraca z przestępcami

Użycie nieudokumentowanych funkcji (Diebold Agilis 91x) obsługi czytnika kart świadczy o tym, że trojan ten został napisany przez specjalistów, którzy posiedli informacje nie udostępniane publicznie. Ponadto zarażenie bankomatu nie byłoby możliwe bez dostępu do urządzenia lub jego sieci. "Złośliwe oprogramowanie, które do tej pory poznaliśmy w związku z naruszeniem bezpieczeństwa bankomatów, nie zawiera opcji samodzielnej replikacji, więc musiało zostać zainstalowane w tych urządzeniach podczas ich obsługi. Wystarczyło zapłacić odpowiednią łapówkę technikowi serwisu, który utrzymuje sprzęt oraz dokonuje aktualizacji jego oprogramowania, aby zainstalował malware w bankomacie" - mówi Raimund Genes.