Najpierw wirus przekierowuje klientów banku na fałszywą stronę logowania. Tam wpisują oni swój login i hasło, nieświadomie przekazując je w ręce oszustów. Podrobiona strona banku uniemożliwia zalogowanie, wyświetlając komunikat o zablokowaniu dostępu do systemu bankowości internetowej.
Żeby dostęp odblokować, należy podać hasło otrzymane SMS-em na telefon komórkowy.
Posiadając hasło i login do danych dostępowych do systemu bankowości internetowej złodziej bez problemu, może zalogować się na nie, a następnie zlecić przelew na wskazane przez siebie konto.
Kod autoryzacyjny do potwierdzenia transakcji otrzyma od ofiary, która będzie przekonana, że podając go, odblokowuje swój dostęp do bankowości internetowej.
Wirus klient banku zazwyczaj dostaje w postaci linku przez SMS lub e-mail. Kliknięcie na link aktywuje złośliwe oprogramowanie, które działa jak nakładka, która perzy próbie logowania się do banku sczytuje dane. Aplikacja potrafi tez przechwytywać kody autoryzacyjne wysyłane przez faktyczny bank SMS-em.
