Windows-Trojaner auf Diebold-Bankautomat

Der Virenexperte Vanja Svajcer von der Firma Sophos berichtet in einem Blog-Eintrag von seinem neuesten Fund: ein Trojaner, der PINs ausspioniert. Das Besondere daran? Dieses Exemplar hat sich auf Geldautomaten der Firma Diebold spezialisiert, die mit Windows laufen.

Als Svajcer Gerüchten über Schadsoftware für Bankautomaten nachging und gezielt die Sammlung der eingegangen Malware-Exemplare auf Hinweise zum angeblich betroffenen Hersteller Diebold prüfte, wurde er bei drei Dateien fündig. Eine genauere Analyse der Programme förderte dann anscheinend Code zu Tage, der über undokumentierte Diebold-Agilis-Funktionen den Magnetkartenleser ansprach und Code in diverse Prozesse des Geldautomaten einschleuste.

Außerdem ist Svajcer sich "ziemlich sicher", dass er Code entdeckt hat, um PINs abzufangen, die am Tastatureingabegerät eingetippt wurden. Hier wird die Darstellung des Virenexperten allerdings etwas dubios. Denn zumindest an Geldautomaten, die den Vorgaben des deutschen ZKA (Zentraler Kreditausschuss) genügen, erfolgt die PIN-Eingabe an einem speziell gesicherten Hardware Security Modul (HSM), das direkt mit dem Kartenlesegerät kommuniziert. Ein auf dem Betriebssystem des Geldautomaten laufender Trojaner könnte die PIN nicht ohne weiteres mitlesen, da diese nie im Klartext auf dem Rechner vorkommt. In der ZKA-Liste der zugelassenen Geldautomaten finden sich auch Diebold-Systeme mit Windows XP und Agilis.

Ganz daneben liegt Svajcer jedoch auch nicht. Der US-amerikanische Journalist Robert McMillan schreibt, dass Diebold ihm gegenüber Fälle von trojanischen Pferden auf russischen Geldautomaten bestätigt habe, die den Hersteller im Januar sogar zu einer Warnung an seine Kunden veranlassten. Selbst ein vorbeugendes Sicherheits-Update für die Windows-Software auf den Geldautomaten habe Diebold verschickt.

Vanja Svajcer vermutet, dass das Einschleusen des Trojaners direkten Zugang zu den Geldautomaten erfordert. Er schließt mit der Einschätzung, dass er kaum glaubt, dass Schädlingsattacken auf Geldautomaten weite Verbreitung finden werden. Dennoch erkennt die Antiviren-Software von Sophos den Schädling jetzt als Troj/Skimer-A. (Jürgen Schmidt) / (ju/c't)