VirusAlert.nl logo
  27 mei 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Titel:
Fox-IT haalt botnet met mobiele malware neer
Rubriek:
Virussen
Datum:
22 oktober 2012
Bron:
(c) 2012, VirusAlert
Bericht:

Fox-IT heeft samen met collega's uit Zwitserland het botnet Sopelka uitgeschakeld, dat onder meer met Citadel bankgegevens van Nederlanders probeerde te kapen via mobiele applicaties.

Het botnet mikte niet alleen op de mobiele besturingssystemen Android en BlackBerry, maar uiteindelijk ook op Symbian. De aanval kwam uit Kazachstan, de meeste slachtoffers waren Duitsers en Spanjaarden. Nederlanders waren zowel bij aanvallen op 30 mei, 15 juni als 15 juli het mikpunt van de diverse malware uit het botnet.

Op 30 mei ondernam het Sopelka-botnet een aanval op Nederland met de Citadel-trojan. De trojans Feodo en Tatanga volgden op de twee navolgende eerder genoemde data. De versies van Citadel die er op uit werden gestuurd waren 1.3.4.0 en 1.3.4.5, zo meldt Jose Miguel Esparza van S21sec, een Spaanse cybersecurityorganisatie.

Symbian: terug naar de roots
De eerste serie aanvallen van dit jaar waren nog gericht op de mobiele platforms van Android en BlackBerry, maar in de latere versies werd Symbian eraan toegevoegd. Daarmee keerden de makers weer terug naar de oorsprong van dit soort man-in-the-middle aanvallen van ZeuS, de voorloper van Citadel, dat in eerste instantie juist was gericht op Symbian. Dat werd toentertijd uitgevoerd via een combinatie met afvang van gebruikersnaam en wachtwoord op de computer en het overnemen van de telefoon via sms.

De nieuwe aanvallen worden uitgevoerd met HTML-injectie via JavaScript. Vervolgens werd een PHP-bestand geladen vanaf een externe server. Bankgegevens werden weer gestuurd naar een andere server die specifiek was opgezet om verzamelde bankgegevens op te slaan. Ook werden opnieuw sms'jes afgevangen die gebruikt werden ter authenticatie.

Sinkhole vangt domeintraffic af
Onderzoekers van Shadowserver en Abuse.ch hebben een sinkhole opgezet waarmee een aantal Citadel-domeinen werden afgevangen, zoals autumn.kz, wet.kz en advia.kz, daarbij geholpen door mensen van het Nederlandse Fox-IT. Onbekend is wat de rol van de Nederlanders is geweest. Webwereld heeft Fox-IT daarom gevraagd, maar nog geen antwoord gekregen.

Uit de statistieken bleek vervolgens dat meer dan de helft van de geïnfecteerde machines zich in Duitsland bevonden (59 procent) en 38 procent ervan in Spanje. Ondanks de gerichte aanvallen op Nederland bleek het aantal besmettingen mee te vallen in dit geval.

Reactie plaatsen, log dan hier in
Link:
bron: WebWereld.nl
Advertentie:


 Reacties op dit bericht:
Er zijn nog geen reacties.

 Uw reactie:
U bent niet ingelogd dus kunt niet reageren op dit bericht.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS