Атака базируется на кодах вредоносной платформы Skyhock и представляет собой разновидность атаки типа man-in-the-middle. Обнаруженный образец вредоносного ПО в большей степени ориентирован на бизнес-пользователей, нежели на частных лиц, так как осуществляет перехват данных из нескольких популярных корпоративных банковских приложений.
Во время своей работы в системе вредоносный код приостанавливает сессию, якобы для того, чтобы провести проверку безопасности системы, однако после этого троянец представляется пользователю банковским работником, с которым он только что общался, и в результате непродолжительной беседы пытается выудить у жертвы реквизиты для доступа к системе онлайн-банкинга.
Trusteer отмечает, что большинство паролей в системах онлайн-банкинга одноразовые или имеют ограниченный срок действия, поэтому у троянца должен быть постоянный оператор, чтобы оперативно подключиться при помощи полученных реквизитов и провести нужные мошенникам транзакции.
