El malware en cajeros automáticos no es nuevo, periódicamente aparecen noticias al respecto. La novedad en esta ocasión es que si bien se había detectado este tipo de malware en las cunas del crimen en Internet (Rusia y Brasil), en 2012 también se han detectado estas amenazas en cajeros automáticos de América Latina. Repasaremos la historia.
Los fraudes en cajeros automáticos con «skimmers» han existido desde hace muchos años. Básicamente se trata de interponer un dispositivo físico en el cajero, de forma que lea la tarjeta de crédito y recupere su información cuando se introduce o se retira de la ranura. Los cajeros más modernos incluyen técnicas contra este tipo de estafas (por ejemplo el hecho de «escupir» la tarjeta no de forma lineal, sino con pequeños saltos y paradas para evitar ser leída), pero los ataques han evolucionado y ganado en eficacia.
Los skimmers clásicos
El mayor problema (o riesgo) para los atacantes es el hecho de abrir el aparato e instalar el sistema. Esos momentos son críticos, por la dificultad que entraña y porque deben exponerse a las cámaras de seguridad, etc. Además deben hacerlo dos veces: durante la instalación y durante la recogida de datos. Los skimmers suelen almacenar la información en una memoria, y los atacantes deben recoger lo almacenado en una sesión.
En 2008 se detectaron los primeros skimmers que incluían una interesante mejora: incluían una tarjeta SIM que permitía enviar por SMS los datos robados. Así no era necesario volver después de cierto tiempo a recoger el botín, además de que se podían tener en «tiempo real» según se iban robando. El skimmer era capaz de leer la tarjeta y también el PIN según se pulsaba en el teclado. Todo era enviado directamente al atacante. Permitían el envío de casi dos mil mensajes durante las 24 horas que le duraba la batería.
En aquel momento se intuyó que esta mejora era una gran idea y representaba el futuro del negocio, puesto que el «arte del skimming» se pensaba siempre como un acto que necesitaba un lector físico (algo casi mecánico) y el uso de tecnología SMS introducía una tecnología interesante.
Pero entonces aparecieron los troyanos para cajeros. A principios de 2009 Sophos detectó las primeras muestras en cajeros de Rusia. Lo llamaron Skimer-A.
¿Cómo hacen para operar de esta manera?
Un troyano para cajeros automáticos se enfrenta a dos retos principalmente para que sea lucrativo para el atacante.
* Los cajeros automáticos no suelen tener conexión a Internet ni usuario que interactúe. Esto impide su infección sencilla y la recogida inmediata de información. Lo suelen suplir con la introducción de memorias USB en los propios cajeros, retirando la carcasa y accediendo a los puertos correspondientes. Aunque suene extraño, se puede hacer, sobre todo en cajeros poco concurridos.
* Se debe entender perfectamente el funcionamiento del software que corre en el cajero, normalmente proporcionado por diferentes empresas. En los últimos años, los atacantes parecen centrados en la compañía Diebold. Los datos que interesan al atacante son tomados de la memoria de los procesos de los programas «legítimos», y por tanto se debe conocer perfectamente cómo funcionan y sus formatos.
El malware detectado en Rusia en 2009 no era nada genérico. De hecho, fue compleja su detección, casi por casualidad. Los cajeros no suelen estar dotados de antivirus, y aunque lo hubieran estado, el comportamiento del malware era tan poco habitual, tan específico, que no era cazado por firmas por ningún motor. Las casas antivirus no tuvieron acceso sencillo a las muestras y, aunque lo hubieran tenido, para funcionar y entender completamente su funcionamiento era igualmente necesario disponer del software específico del cajero, algo no tan sencillo. No solo porque es privado y de pago, sino porque requiere de un hardware también muy específico (lectores, teclados numéricos, etc.) al que los analistas no suelen tener acceso.
Estas dificultades también deben ser superadas por los atacantes. Por tanto, existe un mercado negro de controladores y software oficiales de cajeros automáticos, dispositivos e incluso ingenieros que se dedican a estudiarlo para poder sacar de ellos toda la información.
Brasil: Chupa-Cabra
Después del escándalo en 2009 en Rusia, a principios de 2010 se observó este fenómeno en Brasil, y se llamó «chupa-cabra». Este volvía a ser un malware perfectamente diseñado para su finalidad. En estos cajeros, los datos viajaban a través del puerto serie o USB a otro dispositivo, y ahí es donde atacaban, puesto que se trataba del punto más sencillo donde recuperar la información de la tarjeta. Para obtener el PIN, también instalaban un keylogger en el sistema.
Para instalar este tipo de malware, los atacantes debían introducir un USB en el cajero. Existe un vídeo en el que se observa a varios individuos captados por una cámara de seguridad en Brasil. El USB tenía un instalador del malware y el «autorun» del sistema podía hacer el resto para preparar todo el entorno. Si no, la configuración por defecto de los sistemas (contraseñas en blanco o conocidas por los fabricantes también permitirían instalar el malware.
Los atacantes debían volver luego a recuperar la información almacenada en el disco (cifrada, habitualmente). Para ello o bien lo hacían ellos mismos o pagaban a muleros para que fueran captados por las cámaras de seguridad ante cualquier problema.
América Latina
En América Latina, se ha observado durante 2012 un incremento de la actividad en este sentido, con dos tipos diferentes de malware en cajeros. Uno de ellos más sencillo (destinado a la marca Wincor), y otro más complejo (destinado a Diebold). Este último parece una variación específica del malware original encontrado en Rusia en 2009, que ataca al software Agilis de Diebold específicamente (del que se filtró en un momento dado un manual de funcionamiento interno). Si bien este software no es vulnerable en sí mismo, los programadores deben estudiarlo y conocerlo internamente para poder robar la información y aprovechar los datos.
En los últimos meses, se ha detectado este malware en Centroamérica y otros países de América Latina en menor medida, donde la alerta ha saltado a raíz del gran número de tarjetas clonadas que estaban apareciendo.
Dos tipos de malware
El primer malware encontrado, de una complejidad menor, está programado en Visual Basic y ataca a la marca Wincor. Se instala como servicio para poder arrancarse en cada reinicio, con nombres muy disimulados para que pueda parecer a simple vista que se trata de un servicio legítimo del sistema (Windows XP). El programa captura la información del cajero (también a través de keylogger) y la almacena en ficheros codificados (con el algoritmo Huffman). Se almacenaba en c:\windows\system32\ simulando nombres habituales del sistema. Su funcionalidad básica parece la de buscar logs del cajero y descifrarlos para obtener los datos.
El segundo malware encontrado, de una complejidad mayor, está programado específicamente contra el software de Diebold. Se inyecta en procesos concretos del software del cajero y extrae la información necesaria. Entender el funcionamiento de este malware es muy complejo, puesto que requiere de altos conocimientos del software y hardware del cajero.
Conclusiones
Los cajeros suelen estar aislados de Internet, pero esto no los aísla del malware. Una pobre configuración de los equipos también ayuda a los atacantes en estos casos: aunque tengan acceso físico a la máquina, existen formas de impedir que se ejecute, instale, y funcione software desconocidos en estas máquinas. También la configuración efectiva del sistema y el uso adecuado de las cámaras de vigilancia podrían mitigar el riesgo.
Foto: Archivo