Backdoor Ploutus, malware-ul care ataca bancomate
backdoor ploutusmalwaresymantecbancomate
Specialistii Symantec au descoperit, la finalul anului trecut, un program malware, numit Backdoor Ploutus. Acesta permite infractorilor sa atace un bancomat si sa retraga sume de bani prin intermediul unei tastaturi externe, fara sa fie necesara utilizarea unui card bancar.
Desi atunci era utilizat doar in Mexic, la cateva saptamani dupa, Symantec a descoperit o noua versiune a programului, denumita Backdoor.Ploutus.B, mai sofisticata si adaptata pentru a fi utilizata in toate colturile lumii.
Noua varianta a programului malware permite infractorilor cibernetici sa compromita un bancomat si sa retraga in mod neautorizat sume de bani prin simpla trimitere a unui mesaj SMS.
Concret, infractorii pot controla de la distanta un bancomat folosind un telefon mobil care se conecteaza prin portul USB la sistemul bancomatului si il infecteaza cu Backdoor.Ploutus.B.
In urma conectarii telefonului mobil cu bancomatul, infractorii trimit comenzi specifice prin mesaje SMS intr-un format pe care bancomatul il primeste sub forma unui pachet de informatii de retea.
Network Packet Monitor (NPM) este un modul al programului malware care detecteaza pachete de informatii prin monitorizarea traficului de retea din cadrul unui bancomat.
Odata ce un bancomat compromis primeste un pachet de informatii din partea telefonului, validat de protocolul TCP sau UDP, modulul NPM va analiza pachetul in cautarea numarului “5449610000583686” intr-o anumita ramificatie a informatiilor din pachet pentru a procesa datele intregului pachet.
Odata detectat numarul, modulul NPM va citi urmatoarele 16 cifre si le va folosi pentru a elabora o linie de comanda care activeaza programul malware si permite retragerea neautorizata de bani din bancomat si, in unele cazuri, chiar informatii bancare precum numere de card si coduri PIN.
Backdoor.Ploutus.B – mod de functionare
Infractorul instaleaza programul malware in sistemul bancomatului prin intermediul unui telefon mobil conectat la aparat printr-un cablu USB.
Infractorul trimite doua mesaje SMS catre telefonul mobil conectat la bancomat.
Primul SMS contine un cod de validare a identitatii pentru a activa Backdoor.Ploutus.B in sistemul bancomatului. Al doilea SMS trebuie sa contina o comanda valida pentru retragerea sumelor de bani din bancomat.
Telefonul detecteaza mesajele SMS valide primite si le trimite mai departe catre ATM intr-un pachet specific de protocol TCP sau UDP.
In cadrul bancomatului, modulul NPM (Network Packet Monitor) intercepteaza pachetul TCP/UDP, iar daca acesta contine o comanda valida, va activa Backdoor.Ploutus.B.
Programul malware permite retragerea de sume de bani prestabilite, in absenta unui card bancar.
Banii sunt colectati din ATM prin intermediul unui partener aflat in proximitatea bancomatului.
In cazul Ploutus, atacatorii incearca sa fure bani din interiorul unui ATM, insa exista alte programe malware ale caror atacuri vizeaza furtul informatiilor de card si codurilor PIN ale clientilor.