Skimer, el malware que roba tu dinero en los cajeros automáticos

skimer

España, Francia, Estados Unidos, Rusia, Macao, China, Filipinas, Alemania, Georgia, Polonia, Brasil y República Checa son los países en los que se está detectando, de nuevo, la amenaza de Skimer, un programa que infecta cajeros automáticos y es capaz de robar nuestros datos bancarios, incluyendo tarjetas de crédito.

El problema se descubrió por primera vez en 2009, pero ahora Skimer está siendo reutilizado con una versión más avanzada y discreta, infectando cajeros automáticos de bancos en varios países. Su distribución fue muy acusada entre 2010 y 2013, cuando se detectaron hasta nueve familias de malware con un objetivo semejante. Ahora es Backdoor.Win32.Skimer quien ha vuelto a la acción, según informan en Kaspersky Lab, quienes ya han identificado 48 modificaciones de este malware, 37 de ellas dirigidas a cajeros automáticos.

Los cibercriminales instalan el malware con acceso físico al ordenador del cajero o mediante la red interna del banco. Después infectan el ejecutable responsable de las interacciones del equipo con las tarjetas bancarias, permitiendo así tener control total de los cajeros para, entre otras cosas, clonar las tarjetas.

Una vez infectado, el cajero irá recogiendo y almacenando los datos, hasta que llegue el delincuente y, con una tarjeta especial, active un menú desde el cual es posible obtener la información robada. Con esos datos, sale del banco, va a otro no infectado, y saca el dinero de las tarjetas clonadas, para que nunca se identifique el cajero infectado.

Este menú oculto puede tener hasta 21 comandos diferentes, como el de sacar dinero (40 billetes de cualquier cuenta), recoger datos de las tarjetas insertadas, borrarlo todo, actualizar el software, etc.

En Kaspersky Lab indican algunos consejos para evitar el problema: hacer análisis regulares, usar tecnologías de listas blancas, contar con una buena política de gestión de dispositivos, cifrar el disco completo, proteger las BIOS de los cajeros, aislar la red ATM de cualquier otra red interna del banco… Por otro lado han verificado que Backdoor.Win32.Skimer analiza los nueve dígitos de la banda magnética de la tarjeta con el fin de identificar si debe activarse, y esos números codificados utilizados por el malware pueden entregarse a los bancos para que se busquen de forma proactiva dentro de sus sistemas, detectando así los cajeros automáticos potencialmente infectados.

No se sabe cuántos cajeros hay infectados en estos momentos, pero la cantidad puede ser enorme…

Podéis obtener más información en este enlace.

Juan Diego Polo

Estudió Ingeniería de Telecomunicaciones en la UPC (Barcelona), trabajando como ingeniero, profesor y analista desde 1998 hasta 2005, cuando decidió emprender creando wwwhatsnew.com.