Según han afirmado algunos expertos de la empresa CSIS, el troyano bancario TinyBanker se trata del más pequeño que jamás haya sido detectado. Ocupa únicamente 20Kb y su tamaño no nos debe engañar, ya que se trata de una troyano muy peligroso.
Aunque posee cierta relación con Zeus, no se trata ni mucho menos de una variante del mismo. Posee numerosos archivos de configuración y utilizando la técnica de inyección de código web, es capaz de modificar el código de una página para por ejemplo, crear campos adicionales para confirmar pagos y transferencias sin el consentimiento del propietario.
Pero también puede realizar más cosas, igual de dañinas que la que hemos mencionado con anterioridad.
Tinba, que así es como ha sido llamado el troyano, es capaz de monitorizar al completo la conexión de internet de un usuario y de exponer todas y cada una de las contraseñas junto con los nombres de usuario. De momento sólo se conocen unos pocos casos de usuarios que han sido afectados por el troyano.
Posee una fácil expansión
Desde CSIS indican que Tinba posee una estructura modular, y aunque en principio únicamente está configurado para unos pocos sitios web de bancos, es posible que los autores del mismo lo extiendan a otros bancos. Todavía no es seguro como el troyano puede infectar un ordenador, pero parece probable que se encuentre disponible en algunas páginas hacia las cuales el usuario sea redirigido.
Su instalación y funcionamiento
Una vez el usuario ha descargado el ejecutable este se instala en el sistema como una rutina de inyección que es capaz de evitar los software de seguridad instalados en el equipo. Además crea un ejecutable en la carpeta «Sistema» de Windows llamado winvert.exe. Una vez realizado esto, el proceso se inyecta en svchost.exe y en explorer.exe, teniendo el control de todas las acciones que realiza el usuario y lo que conlleva que el espacio de memoria ocupado por esos procesos en ejecución aumente de forma considerable.
Una vez en el sistema, es capaz de inyectarse también en procesos como iexplorer.exe y firefox.exe lo que permite al troyano la manipulación del tráfico web del usuario y las páginas que este visita. Lo que provoca que sea capaz de añadir elementos no soportados por HTTPS, que hacen referencia a servidores o sitios web externos a la web donde el usuario se encuentra para recopilar la información.