Tyupkin: il virus che sbanca i Bancomat

di Giovanni Drogo

Pubblicato il 2014-10-08

Il team Kaspersky ha identificato un nuovo malware che consente di prendere il controllo di un bancomat senza l’utilizzo di una carta di credito

article-post

Addio acetilene e carte di credito clonate: Kaspersky ha pubblicato ieri un messaggio di avviso a riguardo di un malware in grado di infettare i bancomat. La scoperta è avvenuta grazie alla richiesta di intervento di una banca europea e in seguito ad un’approfondita indagine durata diversi mesi il Kaspersky Lab’s Global Research and Analysis Team è riuscito ad individuare un nuovo malware: Backdoor.MSIL.Tyupkin in grado di infettare alcuni modelli di bancomat che utilizzano un sistema operativo Windows a 32-bit.
 

Una delle fasi del furto tramite Tyupkin (fonte: Kaspersky Lab/Youtube.com)
Una delle fasi del furto tramite Tyupkin (fonte: Kaspersky Lab/Youtube.com)

 
COME FUNZIONA TYUPKIN
Per poter funzionare Tyupkin deve essere installato all’interno dello sportello bancomat, il che significa che i ladri devono avere fisicamente accesso alla macchina e per questo vengono preferite quelle posizionate direttamente sulla strada. Una volta installato il malware rimane in attesa di ordini e adotta diverse tecniche per evitare che venga scoperto dai programmi antivirus. Inoltre la sua attività viene limitata ad uno specifico orario della notte tra la domenica e il lunedì e solo in quelle ore è possibile rubare il denaro tramite il malware. Per poter utilizzare Tyupkin è necessario inserire una password che viene utilizzata per interagire con il bancomat e viene generata ad ogni sessione. In questo modo il ladro può inviare un corriere a prelevare fisicamente il denaro dando le istruzioni per telefono dando la chiave utile per quella sessione. Una volta inserita la chiave Tyupkin consente all’operatore di prendere il controllo del bancomat senza dover inserire alcuna carta di credito nello sportello e di procedere al prelievo del denaro da una delle cassette.

A differenza di altri sistemi utilizzati per prelevare il denaro dagli sportelli automatici Tyupkin non ha bisogno che venga inserita una carta di credito o un bancomat clonati: utilizzando il tastierino numerico per interagire con lo sportello il ladro è in grado di prelevare il denaro direttamente senza avere la necessità di prelevare i soldi dal conto corrente di una vittima. Come ha fatto notare Vicente Diaz, il responsabile del Team Karspesky che ha fatto la scoperta, negli ultimi anni si è assistito ad un salto di qualità in questo tipo di attacchi:

Quella cui stiamo assistendo ora è la naturale evoluzione delle minacce agli sportelli automatici, i cyber criminali ora hanno preso di mira direttamente le istituzioni finanziarie. Tyupkin è un esempio di come sia possibile sfruttare le debolezze dell’infrastruttura dei bancomat.

Il fatto che la maggior parte dei bancomat utilizzi un sistema operativo con alcune falle nella sicurezza ha sicuramente favorito il ricorso a questo nuovo genere di tecnica.
 
DOVE È STATO INDIVIDUATO IL MALWARE
Secondo i dati pubblicati da Securelist le investigazioni condotte dal Team Kaspersky hanno trovato la presenza del malware in oltre 50 sportelli bancomat localizzati prevalentemente nell’Europa dell’Est. Ma è possibile che il virus sia già stato diffuso in altri paesi.

La distribuzione dei casi accertati di Tyupkin (fonte: securelist.com)
La distribuzione dei casi accertati di Tyupkin (fonte: securelist.com)

 
COSA FARE
Come detto allo stato attuale in questo caso il cliente non è in pericolo il bersaglio sono le banche. A loro Kaspersky consiglia di monitorare costantemente tramite videosorveglianza tutti gli sportelli bancomat che danno su una strada o un luogo pubblico, di cambiare le serrature che consentono l’accesso all’interno delle macchine e di effettuare una scansione del sistema per verificare se il bancomat è stato infettato dal malware. Come ultima risorsa il consiglio è quello di caricare all’interno dello sportello solo il denaro necessario ai prelievi che vengono mediamente effettuati durante il giorno. Dal momento che l’attività dei ladri si svolge solo durante certe ore della notte e in alcuni specifici giorni della settimana in questo modo non sarebbero in grado di prelevare alcunché.
 
Foto copertina: Duncan C via Flickr.com

Potrebbe interessarti anche