Данный случай – уже не первое нарушение на территории России, запускаемое из инфицированного приложения, которое после авторизации пользователя считывает и сохраняет в файл журнала Track2 информацию, и который хранит в себе данные карты, номер счета, дату окончания срока действия карты, сервисный код и PIN-код. Вредоносный файл, несмотря на разработанную технологию защиты банковского оборудования, которая рассчитана на защиту PIN-кода пользователя, расшифровывает PIN-код средствами ПО банкомата, обходя эту защиту. Он реализован в виде динамической библиотеки и хранит похищенную информацию пользователя в специальном файле.
Управление бэкдором проходит с помощью специальным образом подготовленных мастер-карт. Так как банкоматы не оборудованы полноценной клавиатурой, как только инфицированный банкомат опознает мастер-карту, на дисплее появляется диалоговое окно управления трояном, а взаимодействие с оператором-злоумышленником происходит через интерфейс XFS (Extensions for Financial Services) с помощью нажатия клавиш PIN-пада (EPP, Encrypted PIN Pad).
Злоумышленники могут использовать программу для выведения на дисплей статистики по похищенным данным, удалению файла журнала, перезагрузке банкомата, и т.д. При этом, все процедуры осуществляются с помощью соответствующего приложения, которое считывается с чипа мастер-карты.
Считанные и похищенные трояном данные сначала проходят двухэтапную процедуру сжатия, а затем их записывают на чип мастер-карты. Допускается, что подобные вирусные программы создаются одним и тем же человеком из-за схожести с другими аналогичными троянами.
