Un nuevo malware ataca e infecta a cajeros automáticos en México y Colombia con el objetivo de vaciarlos, alertó la empresa de ciberseguridad kaspersky.

En un comunicado, el también laboratorio indicó que, tras un breve análisis, se identificó que el objetivo de ATMJaDi, como fue nombrado dicho virus, se centra de manera particular en un subconjunto específico de cajeros, por lo que se especula que fue creado por empleados bancarios internos que estudiaron minuciosamente el modus operandi antes de programarlo.

Los investigadores notaron que el programa malicioso no puede ser controlado mediante el teclado o la pantalla táctil de las máquinas, pero sí es capaz de enviar comandos personalizados para dispensar dinero de los cajeros.

Una vez instalado, el malware, en forma de archivo Java con el nombre INJX_PURE.jar, busca el proceso que controla al ATM para manipularlo e infectar la máquina por medio de comandos legítimos. Al completarse exitosamente la infección, el malware muestra la frase “libertad y gloria” en la pantalla de la terminal en ruso, portugués, español y chino.

Otro detalle que llamó la atención de los investigadores es que el malware no utiliza sistemas estándar como XFS, JXFS o CSC, que comúnmente se encuentran en cajeros automáticos.

En su lugar, el código del malware está escrito en un lenguaje de programación de Java, el cual no es comúnmente utilizado en programas maliciosos para ATMs, pero tiene orígenes en América Latina.

Estos procesos específicos del software controlan a los ATMs que corren en Java y segmentan la actividad a cajeros que corren bajo ese mismo software. Esta acción dirigida indica que los cibercriminales estudiaron detalladamente al blanco antes de programar el malware.

“Los autores de ATMJaDi parecen haber incluido banderas falsas en forma de palabras y frases rusas para confundir a los especialistas sobre el verdadero origen del malware. De hecho, la mayoría de las palabras en el código está en inglés y las pocas palabras incluidas en otros idiomas se utilizan de manera inapropiada”, advirtió Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.

Insistió en que el hecho de que el malware cuente con el mensaje en español y portugués es una gran alerta para los bancos de la región, ya que tradicionalmente los ciberdelincuentes suelen vender malware entre sí para propagar la infección e incrementar sus ganancias.