Onderzoekers hebben een nieuw Trojaans paard ontdekt dat speciaal ontwikkeld is om geld van online bankrekeningen te stelen. Tilon, zoals de malware wordt genoemd, lijkt op de Silon banking Trojan uit 2009. Eenmaal actief injecteert Tilon zich in de browser en heeft vervolgens volledige controle over het verkeer van de browser naar de server van de bank en andersom. Daarbij wijzigt het ook het verkeer van de webserver naar de browser, waarbij via een complex 'zoek en vervang' mechanisme bepaalde tekst wordt aangepast.

Toch is de toegepaste man-in-the-browser techniek niet nieuw, en wordt al ruime tijd gedaan door banking Trojans als Zeus, SpyEye, Shylock en anderen. Wat Tilon wel laat opvallen is de technieken die het gebruikt om niet op te vallen. Zo werkt de malware niet goed op een virtual machine. Veel malware is in staat om een virtual machine te herkennen, maar volgens Amit Klein van beveiligingsbedrijf Trusteer gaat Tilon een stap verder.

Mutatie
In plaats van de installatie te stoppen of niets te doen, installeert Tilon een valse 'system tool'. Daardoor zouden onderzoekers de dropper die Tilon installeert als het zoveelste scamware-exemplaar kunnen afdoen. Eenmaal actief injecteert Tilon zich in verschillende Windows processen en stopt zichzelf daarna, zodat er geen malware-processen in het geheugen worden aangetroffen.

Verder monitort Tilon de vermelding in het register en het bestand op de harde schijf. Zodra iemand hiermee knoeit, worden ze binnen drie seconden hersteld. "Dit mechanisme voorkomt dat veel beveiligingsproducten het kunnen verwijderen", aldus Klein. Daarnaast blijkt Tilon ook te muteren. Het gaat dan om de manier waarop de malware willekeurige bestandsnamen genereert.

Slechts 4 van de 41 virusscanners op VirusTotal.org zouden door al deze maatregelen de malware detecteren (AhnLab-V3, AVG, ESET en Kaspersky). Welke banken Tilon precies aanvalt wil Trusteer niet zeggen.