Niet alleen thuisgebruikers moeten oppassen voor malware, ook banken zijn gewaarschuwd, onderzoekers hebben namelijk een Trojaans paard ontdekt dat geldautomaten infecteert en de betaalgegevens doorspeelt aan criminelen. Zelfs voor de onderzoekers kwam de ontdekking als een verrassing. "Als iemand me een paar dagen geleden had gevraagd over malware die geldautomaten infecteert, dan zou ik zeker weten dat ze weer een hoax hadden ontvangen en ze verzekerd dat er niets aan de hand is", aldus Sophos virusanalist Vanja Svajcer.

Tenslotte draaien geldautomaten geen standaard Windows versie, gebruiken ze ongedocumenteerde hardware en software interfaces, wat reverse engineering lastig maakt. Daarnaast bevinden de machines zich in een geïsoleerd netwerk en zijn ze van sensoren voorzien om in het geval van fysiek geknoei alarm te slaan. Volgens Svajcer levert malware voor standaard Windows desktops veel meer op en is daarom interessanter voor criminelen. Criminelen die zich toch op geldautomaten richten, gebruiken juist voorzetmondjes, camera's of geprepareerde toetsenborden om de gegevens van de betaalpas te stelen en geen malware.

Diebold Trojan
Een bankmedewerker benaderde Svajcer met de vraag of zulke malware echt niet bestaat, aangezien er geruchten rondgaan over een Trojaans paard dat Russische geldautomaten infecteert om creditcardgegevens te stelen. De onderzoeker zocht in de virusdatabase naar exemplaren die met Diebold te maken hebben, de fabrikant van de machines. Hij trof drie recent ontdekte bestanden aan, die er allemaal hetzelfde uitzagen en niet door het automatische analyse detectiesysteem als bijzonder werden opgemerkt.

De malware, Skimer.A genaamd, wijzigt de Protected storage service en installeert en laadt dan het kwaadaardige bestand lsass.exe. Tevens worden wat andere specifieke bestanden van de geldautomaat vervangen. Eenmaal actief kan de Trojan de informatie van de magnetische kaartlezer via ongedocumenteerde Diebold functies opslaan, injecteert die code in de processen van de geldautomaat, kaapt die transacties in Oekraiense, Russische en Amerikaanse valuta en gebruikt een printfunctie om de gestolen gegevens te printen. Svajcer is er ook zeker van dat een aantal instructies voor het keyboard worden gebruikt om de PINcode op te slaan

Insider
Een deel van de code is versleuteld en voorzien van een "alternatieve user interface", die waarschijnlijk katvangers toegang tot de gestolen informatie geeft. De "money mules" zouden de data wel in persoon moeten ophalen. Een aanvaller heeft ook fysieke toegang tot de geldautomaat nodig om de Trojan te installeren. Zorgwekkender is dat de onderzoeker denkt dat de malware het werk van een programmeur is die de werking van Diebold geldautomaten bijzonder goed kent. Toch verwacht Svajcer dat geldautomaat malware een bijzondere uitzondering blijft.