Die Malware ändert die DNS-Einstellungen auf dem Rechner des Opfers und installiert ein SSL-Zertifikat. Versucht man nun, eine Onlinebanking-Seite aufzurufen, wird man über die manipulierte DNS-Einstellung zu einer nachgeahmten Seite der Bank umgeleitet, die dank des installierten Zertifikats eine Verschlüsselung signalisiert, aber keinen Warnhinweis anzeigt, wie bei unbekannten Zertifikaten üblich. Der User hat also kaum eine Chance, die Fake-Seite als solche zu erkennen. Meldet man sich auf der Seite mit seinen Zugangsdaten an, fordert die Fake-Seite auf, eine App (bislang nur Android) zu installieren. Ohne die könne man kein Onlinebanking mehr nutzen, so die Seite. Die App gibt vor, Session-Tokens für die Zwei-Faktor-Authentifizierung zu erzeugen. Tatsächlich fängt sie bei zukünftigen Anmeldungen auf der echten Banking-Seite die SMS der Bank und damit die echten Session-Token ab. Zusammen mit den auf der Fake-Seite erbeuteten Zugangsdaten haben die Angreifer damit vollen Zugriff auf Accounts, die per Zwei-Faktor-Authentifizierung geschützt sind.
Der Angriff blieb lange Zeit unentdeckt, auch weil sich die Malware nach der Änderung der Systemeinstellungen selbst löscht, ohne Spuren zu hinterlassen. Betroffen sind nach Erkenntnissen von Trend Micro vor allem Banken in Österreich und der Schweiz – daher der Name „Operation Emmental“.
Der Angriff blieb lange Zeit unentdeckt, auch weil sich die Malware nach der Änderung der Systemeinstellungen selbst löscht, ohne Spuren zu hinterlassen. Betroffen sind nach Erkenntnissen von Trend Micro vor allem Banken in Österreich und der Schweiz – daher der Name „Operation Emmental“.
