Декомпилятором разбираю явские классы с сайта банка. По образу и подобию пишу логику доступа к базе данных. Собираю простенькое веб-приложение, где через браузер можно вводить текст запросов к базе и смотреть результаты. Аккуратно прописываю обработку ошибок, чтобы ничего не выходило наружу, все сообщения об ошибках будут складываться в отдельный файл на сервере. Еще раз проверяю – вроде все выглядит нормально. Проставляем приложение на сервер. На заглавной веб-страничке сайта банка добавляем скрытую ссылку. Если пять раз нажать на маленькую точку в углу – вызывается наше приложение.