Según analistas de la empresa, el hecho que los ataques de este malware se centran en un subconjunto específico de ATMs sugiere que posiblemente este haya sido creado por insiders o empleados corruptos del banco.
Tal como sucede con la mayoría de los programas maliciosos para cajeros automáticos, los atacantes detrás de ATMJaDi deben encontrar una manera de instalar el malware. Al analizar el código, los investigadores notaron que este no puede ser controlado mediante el teclado o la pantalla táctil de las máquinas pero que es capaz de enviar comandos personalizados para dispensar dinero de las ATMs. Este descubrimiento sugiere que el grupo detrás de ATMJaDi pudo haber sido desarrollado por insiders con acceso al código fuente de un banco en particular y por ende, a la red donde están conectados los cajeros automáticos.
Una vez instalado, el malware, en forma de archivo Java con el nombre “INJX_PURE.jar”, busca el proceso que controla al ATM para manipularlo e infectar la máquina por medio de comandos legítimos. Al completarse exitosamente la infección, el malware muestra la frase “libertad y gloria” en la pantalla de la terminal en ruso, portugués, español y chino. El mensaje es seguido por la palabra rusa “отдельный”, la cual significa “separado”. Sin embargo, la mayoría de las palabras encontradas en el código aparecen en inglés.
“Los autores de ATMJaDi parecen haber incluido banderas falsas en forma de palabras y frases rusas para confundir a los especialistas sobre el verdadero origen del malware. De hecho, la mayoría de las palabras en el código están en inglés y las pocas palabras incluidas en otros idiomas se utilizan de manera inapropiada “, afirma Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky. “Además, el hecho que el malware cuente con el mensaje en español y portugués es una gran alerta para los bancos de la región ya que tradicionalmente los ciberdelincuentes suelen vender malware entre sí para propagar la infección e incrementar sus ganancias”, alerta Bestuzhev.
Otro detalle que llamó la atención de los investigadores es que el malware no utiliza sistemas estándar como XFS, JXFS o CSC, que comúnmente se encuentran en cajeros automáticos. En su lugar, el código del malware está escrito en un lenguaje de programación de Java, el cual no es comúnmente utilizado en programas maliciosos para ATMs pero tiene orígenes en América Latina. Estos procesos específicos del software controlan a los ATMs que corren en Java y segmentan la actividad a cajeros que corren bajo ese mismo software. Esta acción dirigida indica que los cibercriminales estudiaron detalladamente al blanco antes de programar el malware.