После проникновения в ОС терминала вирус некоторое время не проявляет активность (используется функция API Sleep). Период выжидания определяется при помощи генератора псевдослучайных чисел. Это сделано для обхода песочниц, которые активны короткий промежуток времени.

Далее Neutrino подключается к управляющим серверам, адреса которых прописаны в теле вируса в формате Base64. Для обмена информацией используются специально подготовленные POST-запросы, данные добавляются после слова «enter» (после кодирования в Base64 оно принимает вид ZW50ZXI.

При любом обращении к серверу всегда возвращается ошибка с кодом 404, однако далее также при помощи параметра передается ответ, закодированный при помощи Base64. После получения ответа от сервера, он помечается вирусом как активный. После установки связи с сервером утилита способна туннелировать интернет-трафик, редактировать системный реестр, передавать на сервер определенные файлы с устройства, осуществлять поиск указанных процессов, сохранять содержимое экрана, загружать и запускать на терминале произвольные файлы. Однако основная функция – кража информации с банковских карт (в момент проведения платежа).

Специалисты «Лаборатории Касперского» отметили, что появление нестандартной модификации вируса Neutrino – очередное подтверждение того, что современные киберугрозы постоянно эволюционируют. Постоянно появляются более опасные версии известных вредоносных программ. Причем область применения стабильно расширяется, следуя за увеличением количества различных электронных устройств.

Анализ активности Neutrino показал, что наибольшую активность вредоносное приложение проявляет на территории России. Также атаки зафиксированы в Египте, Украине, Казахстане и Алжире.