Doordat verschillende banken de online sessie tussen de klant en de bankapplicatie in real-time monitoren, zijn verschillende banking Trojans uit de browser gevlucht. Deze digitale bankrovers, zoals Tinba en Tilon, verstopten zich voorheen in de browser, de zogeheten man-in-the-browser-aanval. Op deze manier kon de malware in real-time de sessie van de gebruiker kapen.

Vervolgens werden er allerlei andere betalingen in de achtergrond klaargezet, zonder dat slachtoffers dit door hadden. Om deze aanval te kunnen uitvoeren moet de malware de werking van de bankapplicatie kennen. De beveiligingssystemen van banken zouden deze anomalieën tijdens de sessie kunnen identificeren en zo de activiteiten van Tinba, Tilon, Shylock en andere banking Trojans kunnen blokkeren.

Beveiligingsbedrijf Trusteer ontdekte dat zowel Tinba als Tilon door hun makers zijn aangepast om niet op te vallen. In plaats van het in real-time aanpassen van de sessie, wordt er nu voor een eenvoudigere aanpak gekozen.

Zodra de gebruiker op zijn online bankrekening wil inloggen, laat de malware een valse webpagina zien die op de officiële en legitieme bankpagina lijkt. Zodra de gebruiker op deze phishingpagina zijn inloggegevens invult, worden die naar de cybercriminelen achter de malware doorgestuurd. Vervolgens krijgt de gebruiker een foutmelding te zien dat internetbankieren tijdelijk onbereikbaar is.

Phishing
In de tussentijd gebruiken de criminelen de inloggegevens om vanaf een andere machine als de gebruiker in te loggen en frauduleuze transacties uit te voeren. In het geval het inloggen of de transactie twee-factor authenticatie vereist, zoals one time password tokens, een authenticator of kaartlezer, probeert de malware deze gegevens als onderdeel van de valse inlogpagina te bemachtigen.

"Door deze tactiek te gebruiken zorgt de malware ervoor dat de gebruiker nooit de inlogpagina van de bank bereikt, wat voorkomt dat de backend-systemen van de bank de malware detecteren en de fraude identificeren", zegt Amit Klein van Trusteer.

De aanval lijkt op de traditionele phishingaanval via e-mail, alleen wordt hier de phishingpagina door de malware die al op het systeem actief is getoond. Volgens het beveiligingsbedrijf is het aantal aanvallen met de nieuwe varianten nog beperkt.