این بدافزار از نوع تروجان است. روش کار این تروجان به این صورت است که ابتدا پیامکی را برای کاربر ارسال میکند. در متن پیامک، برای فریب دادن هر چه بیشتر قربانی، نام صاحب تلفن همراه نیز قید شده است. پیامک موردنظر حاوی یک لینک است. زمانی که کاربر بر روی این لینک کلیک میکند، یک نرمافزار به صورت خودکار بر روی تلفن همراه کاربر دانلود میشود. درصورتیکه کاربر این نرمافزار را نصب کند، پیامی به او نمایش داده میشود که باید به اجبار آن را تأیید کند. با تأیید این پیام، کاربر به تروجان اجازهی دسترسی به کلیهی بخشهای تلفن همراه را میدهد. اجبار برای تأیید پیام حاکی از مشکوک بودن این نرمافزار است و کاربران باید نسبت به چنین مواردی هشیار باشند.
پس از نصب شدن بر روی تلفن همراه قربانی، تروجان موردنظر به سرورهای فرماندهی و کنترل هکرها متصل میشود. تروجان موردنظر در اولین اتصال، اطلاعتی اولیهی تلفن همراه قربانی را برای سرورهای فرماندهی و کنترل خود میفرستد؛ اطلاعاتی از قبیل شناسهی تلفن همراه، مدل تلفن همراه، زبان تلفن همراه، شمارهی سیمکارت، نسخهی سیستمعامل و ...
در مرحلهی بعد، تروجان مذکور، تلفن همراه قربانی را برای یافتن هرگونه نرمافزار بانکی جستجو میکند. بهمحض یافتن نرمافزار بانکی، تروجان موردنظر موجودی حساب بانکی کاربر را به حساب دیگری منتقل میکند.
زمانی که حساب کاربر تخلیه شد، بانک نتیجهی تراکنش را در قالب یک پیامک برای کاربر ارسال میکند. تروجان این پیامک را قبل از رسیدن به کاربر به سرورهای فرماندهی و کنترل خود ارسال کرده و پاک میکند. بهاینترتیب، سیستم پیامکی بانک نیز دور زده میشود.
به گفتهی محققین امنیتی، تروجان موردنظر قابلیت این را دارد که در آیندهای نه چندان دور بدون اجازه و تأیید کاربر بر روی تلفن همراه کاربر نصب شود. این تروجان تاکنون حسابهای بانکی زیادی را در روسیه تخلیه کرده است.
منبع: سایبربان