Crear malware desde cero es una empresa relativamente rara en ambientes clandestinos. Haciendo a un lado algunos esfuerzos privados, el código fuente de varios troyanos populares como Zeus, Citadel y Carberp se encuentra disponibles en la red, haciendo que sea fácil para los atacantes elegir uno, realizar modificaciones y distribuir una nueva variante.

Es por eso que el descubrimiento de un nuevo troyano bancario es notable. El equipo Security’s FraudAction de la RSA publicó un reporte sobre Pandemiya, un nuevo troyano bancario que está siendo promovido en foros de hackers como alternativa al troyano bancario Zeus y sus muchas variantes

El troyano está siendo vendido en 2 mil dólares y ofrece muchas de las mismas características bien conocidas de los troyanos bancarios, incluyendo comunicaciones cifradas con el centro de comando con la intención de dificultar la detección y su análisis.  Además, el troyano cuenta con un diseño modular con la habilidad de utilizar extensiones adicionales y permite a los hackers añadir funcionalidades a través de DLLs.

RSA comentó que el autor de Pandemiya tardó un año en escribir las 25 mil líneas en C que componen a este troyano.

Uri Fleyder, administrativo del laboratorio de investigación de cibercrimen comentó:

De acuerdo a mi experiencia, no es muy común encontrar piezas de código malicioso completamente originales; la mayoría de los programadores basan sus desarrollos en piezas de código previamente filtradas. Por ejemplo, piezas del código filtrado de Zeus y Carberp son muy usadas en varios troyanos. En mi opinión, la razón principal para escribir nuevo malware completamente desde cero es evitar la detección de productos de seguridad para estaciones de trabajo. La mayoría de los productos de seguridad se basa en la detección de firmas y patrones de comportamiento previamente conocidos. Es más difícil detectar y bloquear nuevas amenazas que se comportan diferente a todas las conocidas previamente.

Pandemiya cuenta con un número de características que son conocidas en la mayoría del malware bancario, incluyendo inyectores web para los tres navegadores principales, medios de carga y recolección de archivos, además de la habilidad de firmar digitalmente los archivos para no sólo evitar la detección de productos de seguridad, sino también de otros criminales. La comunicación con el centro de control también está cifrada.

Existen complementos adicionales entre los que se incluyen un proxy inverso, manejador FTP y un ejecutable portable para inyectar el malware al arranque del sistema. Estos complementos pueden ser adquiridos por 500 dólares cada uno. De acuerdo a Fleyder, nuevos complementos estarán disponibles, entre los que se incluye un RDP oculto y un propagador para Facebook, el cual usa credenciales de cuentas de Facebook recolectadas por el troyano para publicar ligas maliciosas entre los amigos e la cuenta afectada.