Los investigadores de IBM X-Force analizaron la actividad de un troyano bancario relativamente nuevo conocido como BackSwap. El malware surgido en marzo de 2018, hasta hace poco, solo se había dirigido a entidades bancarias de Polonia. Pero ahora, la lista de objetivos de BackSwap, incluye a seis grandes bancos de España, centrándose específicamente en la banca personal.
BackSwap simula la entrada del usuario para acceder a la barra de direcciones del navegador, e inserta el script malicioso, directamente allí, para poder ejecutar el script, utilizando las URL del protocolo JavaScript y eludir las protecciones, tanto del navegador como de los controles de seguridad de terceros del banco.
BackSwap utiliza scripts maliciosos para modificar lo que las víctimas ven en el sitio web de su banco al estilo clásico del hombre en el navegador MitB. Los scripts esperan a que se transfiera una cantidad mínima de datos, antes de reemplazar el número de cuenta de destino. Así, inyectan los números de cuenta de las mulas sobre la marcha a través de MitB, y ocultan el número de cuenta de la mula a la que irá el dinero, y en su lugar, presentan la cuenta de destino original que la víctima ingresó.