Банковская система ING использует двухфакторную аутентификацию пользователей: после входа на сайт для подтверждения операции клиенту на мобильный телефон высылается одноразовый код. Поэтому троянская программа сначала заражает компьютер пользователя, а потом, когда он с этого компьютера обращается к сайту банка, подменяет на странице поля, куда пользователь должен ввести номер своего мобильного телефона и его марку. После получения этих данных пользователю отправляется SMS со ссылкой на сайт злоумышленников. Если пользователь пройдет по этой ссылке, то на телефоне будет установлена троянская программа, перехватывающая сообщения банка с одноразовыми кодами и отправляющая их злоумышленникам. Программа работает на телефонах с Symbian и Blackberry (но не iPhone, поскольку на нем пользователь обычно не может устанавливать сторонние программы).

Аналогичный метод применял троянец, обнаруженный в сентябре испанской фирмой S21sec, отмечают специалисты F-Secure.