Malware Alice được đặt dựa trên tên dự án Alice của tội phạm mạng. Các nhà nghiên cứu tìm thấy bằng chứng chứng minh phần mềm độc hại này đã xuất hiện khoảng từ năm 2014.
Tội phạm mạng truy cập vào cổng ATM
Trend Micro cho biết, tội phạm mạng phải tiếp cận vật lý đến các khe USB hoặc đĩa CD-ROM của máy ATM để cài phần mềm độc hại Alice vào thiết bị, sau đó kết nối đến bàn phím để tương tác với các phần mềm.
ATM khi đó có thể sẽ cho phép tội phạm mạng sử dụng bàn phím bên ngoài để khởi động phần mềm độc hại.
Trước khi khởi chạy phần mềm độc hại, Alice sẽ yêu cầu nhập một mã pin. Mã pin này nhằm bảo vệ phần mềm không bị ngân hàng can thiệp, đồng thời nó được dùng để bán quyền điều khiển cho giới tội phạm mạng – một khi nhập mã này thì hacker phát hành phần mềm sẽ biết phần mềm được kích hoạt khi nào, ở đâu.
Alice chỉ có một tính năng
Alice yêu cầu mã PIN trước khi bắt đầu.
Sau khi nhập mã PIN này, Alice sẽ bắt đầu xâm nhập vào hệ thống của máy ATM – hầu hết chạy bằng máy tính hệ điều hành Windows. Không giống như các chủng phần mềm độc hại ATM khác đi kèm với vô số các tính năng cho phép kẻ gian gần như toàn quyền kiểm soát các máy ATM, Alice chỉ có một thành phần.
Theo Trend Micro, thành phần này kết nối giúp Alice kết nối với mô-đun đếm tiền có trong máy ATM, và mở ra cửa sổ như hình dưới.
Trong thực tế, bảng kê phía trên sẽ hiển thị thông tin về số lượng tờ tiền cho mỗi lần rút tiền. Ngay lúc này, những kẻ tấn công sẽ sử dụng bàn phím ngoài để điều khiển và yêu cầu máy nhả tiền.
Vì hầu hết máy ATM giới hạn đến 40 tờ tiền mỗi một lần rút và có thể giới hạn số tiền tối đa mỗi lần rút nên kẻ tấn công sẽ cần lặp lại thao tác này nhiều lần để rút tiền.
Alice hỗ trợ RDP nhưng không sử dụng
Đáng nói là Alice cũng bao gồm các tùy chọn cho kẻ gian kết nối qua RDP (Remote Desktop Protocol) – điều khiển từ xa các máy tính trong cùng mạng – nhưng Europol và Trend Micro cho rằng, họ chưa nhìn thấy tính năng này được hacker sử dụng.
Màn hình ATM khi bị xâm nhập
Lý do có thể là do những kẻ tấn công sẽ cần phải biết mật khẩu của RDP trên máy ATM, hoặc tiến hành một cuộc tấn công phức tạp để đoán mật khẩu.
Tính đến nay, phần mềm độc hại ATM đã xuất hiện được khoảng 9 năm, với các biến thể đầu tiên được phát hiện vào năm 2007.
Hiện nay, phần mềm độc hại ATM có thể rơi vào một trong hai loại, hoặc cả hai: ATM phần mềm độc hại nằm ẩn và thu thập dữ liệu thẻ thanh toán, ghi lại và gửi thông tin đến kẻ gian; và phần mềm độc hại cho phép kẻ tấn công gửi lệnh điều khiển theo thời gian thực đến máy ATM.
Alice khác biệt so với các chủng phần mềm độc hại ATM khác
Alice rơi vào loại thứ hai nhưng rất khác so với các chủng phần mềm độc hại ATM tương tự như Ripper, SUCEFUL, hoặc GreenDispenser.
Tất cả những chủng trên đều được điều khiển thông qua bàn phím trên máy ATM. Nhưng Alice thì không. Nếu dùng phương pháp thông thường, kẻ tấn công sẽ phải tốn thêm thời gian tạo phần mềm giao tiếp giữa mã độc với bàn phím ATM, trong khi ở Alice chúng chỉ cần tập trung tấn công vào mô-đun nhả tiền của máy ATM như đã nói trên.
Cách làm này cho thấy kẻ tạo ra Alice kém kinh nghiệm hơn so với các nhóm còn lại, hoặc ngược lại, kẻ này không muốn tốn thời gian trong việc xây dựng một phần mềm đánh cắp dữ liệu thẻ ngân hàng rồi lại tiếp tục tốn thời gian bán dữ liệu này trên chợ đen. Kẻ này muốn cắt giảm hoàn toàn mọi thủ thuật phức tạp khi xây dựng Alice.
Hãng bảo mật Trend Micro nhận định, với hơn 432.000 máy ATM lắp đặt trên toàn thế giới, phần mềm độc hại ATM là một lĩnh vực rất hấp dẫn tội phạm vì mỗi khi thành công, thành quả (là tiền bạc) hầu như có ngay lập tức. Sự bùng nổ của phần mềm độc hại ATM dự đoán sẽ tiếp tục tăng mạnh trong năm 2017.
 và Trend Micro phát hiện ra một chủng phần mềm độc hại mới - Alice, nhắm mục tiêu đến máy ATM, cho phép){kind=link}