В результате анализа новой версии банковского трояна Carberp было установлено, что вредоносный код начал использовать специальную Java-библиотеку с открытым кодом. С ее помощью Carberp может модифицировать банковское ПО, основанное на языке программирования Java.
Основной целью новой версии Carberp является модификация программного комплекса iBank 2 компании «Бифит», который широко применяется для дистанционного банковского обслуживания пользователей в России и на Украине. Для достижения этой цели Carberp использует вредоносный java-модуль., функционал которого позволяет обходить системы двухфакторной аутентификации с использованием одноразовых паролей.
Еще одной особенностью вредоносного модуля Java/Spy.Banker является применение легитимной библиотеки для модификации кода банковского ПО; такая методика позволяет Carberp лучше скрываться в системе и усложняет распознавание угрозы антивирусными продуктами.
После успешного заражения ПК и внедрения в клиент системы дистанционного банковского обслуживания, злоумышленники получают возможность контролировать все платежи, которые пользователь осуществляет при помощи этого банковского ПО. Комплекс iBank2 не проверяет целостность своего кода и может осуществлять денежные транзакции даже после модификации.