Dat malware in staat is om de twee-factor authenticatie te kraken die banken voor het online bankieren gebruiken is al langer bekend, een nieuw Trojaans paard jaagt zelfs een virusonderzoeker die regelmatig dit soort malware onderzoekt de stuipen op het lijf. "De schaal en complexiteit van deze nieuwe Trojan is zorgwekkend, zelfs voor iemand die op dagelijkse basis banking Trojans ziet", zegt Symantec's Liam OMurchu.

Silentbanker, zoals de malware wordt genoemd, kan de beveiliging van meer dan 400 banken omzeilen, waaronder die in Europese landen. Het Trojaanse paard onderschept transacties die twee-factor authenticatie vereisen, en laat dan de betaling naar de rekening van de crimineel of katvanger, overmaken. Om het slachtoffer niets te laten vermoeden krijgt die een gemanipuleerd afschrift en overzichtspagina te zien. Aangezien de gebruiker niets vermoed, bevestigt die de transactie waarna het geld naar de criminelen wordt overgemaakt. "De eigenschap van deze Trojan om man-in-the-middle aanvallen op geldige transacties uit te voeren is zorgelijk."

De malware gebruikt deze aanvalsvector niet voor alle banken, en alleen als het plunderen van de rekening niet eenvoudiger kan. Als de transactie een gebruikersnaam en wachtwoord vereist, dan slaat Silentbanker dit op. Ook het stelen van certificaten en cookies behoort tot de mogelijkheden. Zelfs het toevoegen van extra HTML is geen probleem.

Om de aanval compleet te maken kan Silentbanker ook DNS instellingen wijzigen en FTP, POP, Web mail, beveiligde opslag en gecachte wachtwoorden stelen. Om detectie door virusscanners te voorkomen downloadt de malware regelmatig nieuwe updates voor zichzelf. "Deze Trojan wist me niet alleen voor duidelijke redenen te boeien, maar installeerde zich ook als midi driver waardoor mijn muziek stopte met spelen."

Een aantal van de gebruikte technieken worden ook toegepast door de beruchte Sinowal banking Trojan, waar we al eerder aandacht aan besteedde.