Criado em 2009 por um grupo russo, o malware Skimer ainda continua ativo. Este software malicioso foi especificamente concebido para roubar dinheiro das caixas de multibanco, mas, após sete anos, o seu código evoluiu e a Kaspersky Lab revela que a última versão que descobriu data do início deste mês.
Assim, a primeira coisa que o grupo de cibercriminosos faz é obter acesso físico ao sistema do ATM ou à rede interna do banco. Depois instala o Backdoor.Win32.Skimer no sistema e infeta a caixa, especificamente o executável responsável pelas interações da máquina com a infraestrutura bancária, processamento de valores e de cartões de crédito. Uma vez bem-sucedido, o malware mantém-se inativo até nova ordem, o que serve para ocultar a sua presença.
Mas, apesar de não ser possível perceber que o ATM está infetado, uma vez que não há qualquer alteração visível no leitor de cartões da máquina, os criminosos conseguem transformar a caixa multibanco num coletor de dados, podendo usá-la tanto para retirar o dinheiro disponível como para clonar os cartões de créditos usados neste multibanco – conseguindo até roubar o número das contas bancárias e os códigos de acesso das vítimas.
Para acionar o malware é inserido um cartão especial com registos específicos na fita magnética. Após ler os registos, os criminosos podem executar o comando inserido no código ou selecionar as ações através de um menu especial ativado pelo cartão. A interface gráfica do Skimer só será apresentada após o cartão ser retirado e o criminoso inserir a senha correta pelo teclado em menos de 60 segundos.
A mudança de comportamento por parte dos criminosos é um dos pontos para o qual a Kaspersky Lab chama especial atenção. É que sacar todo o dinheiro de uma máquina iria levantar suspeitas imediatas para a existência de uma anomalia. Assim, os responsáveis pelo Skimer passaram a agir com paciência para esconder o seu rasto e continuar a espiar os dados de cartões por mais tempo. É por isso que, na maioria dos casos, os criminosos optam por guardar os dados recolhidos para depois clonar os cartões, usando esses clones em multibancos não infetados para tirar dinheiro das contas dos clientes.
De acordo com o comunicado de imprensa da Kaspersky Lab, através das amostras enviadas para a VirusTotal, as 20 amostras mais recentes da família Skimer vieram de mais de dez países diferentes: Emirados Árabes Unidos, França, EUA, Rússia, Macau, China, Filipinas, Espanha, Alemanha, Geórgia, Polónia, Brasil e República Checa.
