Statinko è una rete di bot che crea profitti installando delle estensioni nei browser così da poter visualizzare falsi annunci pubblicitari durante la navigazione Web. Quando si installa su una macchina può effettuare un'enorme quantità di ricerche anonime su Google e creare degli account su Facebook che possono mettere "Mi piace" sulle immagini, sulle pagine e addirittura aggiungere amici.

Si tratta di una backdoor modulare che attraverso un complesso sistema di infezione spinge le vittime a installare due estensioni per il browser, "The Safe Surfing" e "Teddy Protection", entrambe disponibili sul web store di Google Chrome. Dopo aver completato l'infezione, gli operatori di Stantinko sono in grado di usare questi plugin per ottenere il pieno controllo del sistema compromesso.

Queste estensioni sembrano a prima vista legittime ma, una volta installate, ricevono una configurazione differente che contiene delle indicazioni per effettuare numerose attività fraudolente, come effettuare ricerche anonime su Google per trovare siti sviluppati con Joomla e WordPress ed eseguire attacchi brute force su di essi.

Inoltre Stantinko inserisce annunci pubblicitari non desiderati (tra cui i famigerati abbonamenti a pagamento a servizi di telefonia mobile) e genera falsi clic, ottenendo in questo modo un ritorno economico da tutto il traffico fornito agli inserzionisti.

I plugin Safe Surfing e Teddy Protection sono in grado di inserire messaggi pubblicitari o dirottare la navigazione dell'utente. Matthieu Faou, ricercatore malware di ESET, ha dichiarato a Zeus News: "Questo permette agli operatori di Stantinko di essere pagati per tutto il traffico che riescono a generare su questi annunci. Abbiamo addirittura scoperto che gli utenti in alcuni casi vengono dirottati dagli annunci di Stantinko direttamente sul sito Web pubblicitario".

La capacità di Stantinko di evitare la rilevazione degli antivirus si basa su sofisticate tecniche di offuscamento e sulla possibilità di nascondersi dietro codici che sembrano legittimi; è difficile poi liberarsene perché ogni modulo da cui è composto ha la capacità di reinstallare l'altro nel caso venisse eliminato dal sistema.

Usando tecniche avanzate, il codice pericoloso viene crittografato in un file o nel Registro di Windows. Successivamente il malware lo decodifica utilizzando una chiave generata durante l'iniziale compromissione.

Il suo comportamento pericoloso non può essere rilevato fin quando non riceve nuovi componenti dal suo server di comando e controllo, il che rende estremamente difficile rilevarlo in un sistema infettato.

Una volta che una macchina è stata compromessa, il malware installa due servizi Windows pericolosi che vengono eseguiti automaticamente a ogni avvio del sistema. Per risolvere del tutto il problema, l'utente deve eliminare contemporaneamente entrambi i moduli.