Tenminste 200 ABN Amro klanten hebben het Trojaanse paard geinstalleerd dat vorige week donderdag via een nepmail verspreid werd. De e-mail leek afkomstig van support@abnamro.nl en vroeg geadresseerden om het meegestuurde .exe bestand te installeren.

De "beveiligingsupdate" zou noodzakelijk zijn omdat "vakmensen op het gebied van computerveiligheid" achter "een grove fout in het protocol SSL" waren gekomen. Volgens de ABN Amro hebben zo'n 200 mensen contact met de bank gehad omdat ze de malware hadden geinstalleerd, maar is het goed mogelijk dat het werkelijke aantal hoger ligt. De bank zou inmiddels bij de politie aangifte hebben gedaan.

Het spoor bijster
Uit een verdere analyse van de malware blijkt dat het Trojaanse paard niet in staat is om de twee-factor authenticatie van de ABN Amro te kraken. De banking Trojan verzamelt wel wachtwoorden en slaat alle informatie op die via webformulieren worden ingevuld.

De malware houdt daarnaast al het verkeer naar citibank(.de) en bankofamerica in de gaten. Volgens virusanalist Roel Schouwenberg van Kaspersky Lab is het dan ook vreemd dat de malware naar Nederlandse ABN Amro klanten gestuurd is. "Ik denk dat de computercriminelen zoveel mogelijk wachtwoorden willen verzamelen, en de citibank en bankofamerica gegevens als bonus zien."

Een andere mogelijkheid is dat ze dezelfde malware in verschillende regio's gebruiken en te lui waren om de citibank en bankofamerica code te verwijderen.