GreenDispenser: Malware leert Geldautomaten

Das kalifornische Sicherheitsunternehmen Proofpoint warnt vor der Malware GreenDispenser, mit der Angreifer den Geldbestand eines infizierten Geldautomaten leeren können. Zu beobachten war die neue Angriffsmethode zuerst in Mexiko, doch sei es nur eine Frage der Zeit, bis sie weltweit zum Einsatz komme.

Wenn GreenDispenser installiert ist, zeigt der Geldautomat die Meldung „Außer Dienst“ an. Dennoch sollen Angreifer nach Eingabe von korrekten PIN-Codes das im Tresor des Automaten vorgehaltene Bargeld abheben können. Auffällige Spuren blieben dabei nicht zurück, da die Kriminellen zudem in der Lage seien, die Malware nach ihrem Raubzug wieder zu löschen.

GreenDispenser ist nicht die erste Schadsoftware für Geldautomaten und tatsächlich in ihrer Funktionsweise ähnlich Padpin. Wie seine Vorgänger kapriziert es sich auf die Geräte verschiedener Hersteller, die auf den bei Geldautomaten weit verbreiteten XFS-Standard setzen. Sie weist aber zusätzlich einige besonders raffinierte Funktionen auf, wie Proofpoint durch genauere Untersuchung herausfand.

Der analysierte Code gab vor, dass die Schadsoftware nur im Jahr 2015 und vor dem Monat September laufen sollte. Das lässt vermuten, dass GreenDispenser bislang nur begrenzt zum Einsatz kam und sich dann selbst deaktivieren sollte, um eine Entdeckung zu vermeiden.

Die Malware nutzt außerdem eine Art von Zwei-Faktor-Authentifizierung. Nach einer festgelegten PIN muss eine zweite, dynamisch generierte PIN eingegeben werden. Die zweite PIN ist von einem PR-Code abzuleiten, der nach Eingabe der ersten auf dem Display des Automaten erscheint. Die Sicherheitsforscher von Proofpoint nehmen an, dass die Angreifer mit einer Smartphone-App arbeiten, die den QR-Code scannt und die zweite PIN ausliest. Mit dieser Methode wäre gesichert, dass nur „autorisierte“ Diebe den Tresor des Geldautomaten entleeren können.

Proofpoint hält für wahrscheinlich, dass für die Installation der Malware ein physischer Zugang zum Geldautomaten erforderlich ist, was die Frage nach physischem Schutz aufwerfe. Einen solchen Zugang benötigten nach einem früheren Bericht der BBC auch Kriminelle, die Geldautomaten mithilfe manipulierter USB-Sticks plünderten.

„Malware-Attacken auf Geldautomaten wie GreenDispenser sind besonders besorgniserregend, da sie es Cyberkriminellen ermöglichen, Finanzinstitute direkt anzugreifen – ohne zusätzliche Schritte zur Erfassung von Kredit- und Debitkarteninformationen von Kunden durchführen zu müssen“, erklärte Kevin Epstein, Vice President Threat Operations bei Proofpoint. „Somit sind diese Angriffe auch nur schwer zurückzuverfolgen. Um den Angreifern einen Schritt vorauszubleiben, sollten Finanzunternehmen bestehende Sicherheitsmaßnahmen überprüfen und die Einführung moderner Technologien in Erwägung ziehen.“

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de