A pior característica do malware é que as vítimas não conseguem saber que foram roubadas. A ameaça tem como alvo dez localidades ao redor do mundo: Alemanha, Brasil, China, Emirados Árabes Unidos, Espanha, Estados Unidos, Filipinas, França, Geórgia, Macau, Polônia, República Checa e Rússia.
A primeira ação do grupo é obter acesso ao sistema do caixa eletrônico fisicamente ou por meio da rede interna do banco. Após a instalação do Backdoor.Win32.Skimer no sistema, ele infecta o núcleo do caixa eletrônico: o executável responsável pelas interações da máquina com a infraestrutura bancária, processamento de valores e de cartões de crédito. Uma vez bem-sucedido, ele se mantém inativo até segunda ordem – uma forma inteligente de ocultar sua presença.
Os criminosos têm total controle dos ATMs infectados, mas agem com cuidado e precisão. Em vez de instalar dispositivos skimmer (falso leitor de cartão sobre o dispositivo legítimo, também conhecidos como chupa-cabras) para desviar os dados dos cartões, a nova versão transforma o caixa eletrônico todo em um coletor de dados e também pode ser usado para sacar o dinheiro disponível ou clonar cartões de créditos usados na máquina – ele consegue inclusive roubar número das contas bancárias e senhas das vítimas.
De acordo com a Kaspersky Lab, é impossível perceber que o caixa eletrônico está infectado, pois neste caso não há alteração alguma no leitor de cartão da máquina.
Zumbis pacientes
Sacar todo o dinheiro da máquina entregará imediatamente a presença de uma anomalia no caixa eletrônico. Dessa forma, criminosos do Skimmer passaram a agir com paciência e cuidadosamente para esconder rastros e ficar espionando dados de cartões por muito tempo e com segurança: o malware pode operar nos por vários meses sem qualquer atividade.
Para acioná-lo, o criminoso insere um cartão especial com registros específicos na fita magnética. Após ler os registros, os agentes maliciosos podem executar o comando inserido no código ou selecionar ações por meio de um menu especial ativado pelo cartão. A interface gráfica do Skimer só será apresentada após o cartão ser retirado e o criminoso inserir a senha correta pelo teclado em menos de 60 segundos.
A Kaspersky Lab identificou 21 comandos diferentes, como por exemplo, sacar o dinheiro (40 notas de uma gaveta específica), coletar dados dos cartões inseridos, se autoexcluir, executar uma atualização (a partir do código do malware atualizado incorporado no chip do cartão), entre outros.
Além disso, ao coletar os dados do cartão, o Skimer pode salvar o arquivo com dados coletados e senhas no chip do mesmo cartão ou pode imprimi-los pelos recibos do próprio caixa eletrônico.
Na maioria dos casos, os criminosos optam por aguardar dados coletados para depois clonar cartões. Tais clones não infectados e, naturalmente, sacam dinheiro das contas dos clientes. Dessa maneira, os criminosos garantem que caixas eletrônicos infectados não sejam descobertos.
Ladrões experientes
O Skimer foi amplamente distribuído entre 2010 e 2013 e seu surgimento causou um aumento drástico no número de ataques a caixas eletrônicos, sendo detectado pela Kaspersky Lab por meio de nove famílias de malware diferentes, incluindo: Tyupkin, descoberta em março de 2014, que acabou se tornando a mais popular e difundida. Mas agora o Backdoor.Win32.Skimer está em plena atividade.
A Kaspersky Lab já identificou 49 modificações deste malware, sendo que 37 delas visam caixas eletrônicos de apenas um dos principais fabricantes. A versão mais recente foi descoberta no início de maio de 2016.