При открытии на зараженном устройстве в страницы систем «Клиент-Банк» встраивается постороннее содержимое.
Исследователи компании «Доктор Веб» обнаружили троянскую программу, предназначенную для хищения средств со счетов клиентов ряда российских банков. В отличие от остальных вредоносов подобного рода троян, получивший наименование Trojan.Proxy2.102 (по классификации «Доктор Веб»), использует довольно простой метод.
После запуска на целевом устройстве Trojan.Proxy2.102 устанавливает на системе корневой цифровой сертификат и изменяет интернет-настройки, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера. Далее любые обращения браузера к web-страницам системы интернет-банкинга нескольких ведущих российских банков осуществляются через вышеуказанный сервер.
При открытии на зараженном устройстве в страницы систем «Клиент-Банк» встраивается постороннее содержимое, позволяющее преступникам выводить средства с банковских счетов жертвы. По данным экспертов, троян способен подменять содержимое трех банковских интернет-ресурсов - online.sberbank.ru, online.vtb24.ru и online.rsb.ru.
После успешной инсталляции программа отправляет на C&C-сервер злоумышленников соответствующее уведомление. Выполнив вредоносные действия, троян переходит в спящий режим.