Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Sopelka VS Eurograbber                      Really 36 million EUR??Jose Miguel Esparza                             @Eterna...
¿Y quiénes son estos frikis?• Mikel Gastesi  – S21sec Advanced Cybersecurity Services• Jose Miguel Esparza  – ex-S21  – Fo...
Agenda•   Introducción•   Botnet Sopelka•   Eurograbber•   Conclusiones
Introducción• Yet another botnet• Con algunas curiosidades  – 3 familias de malware y un mismo panel bancario  – Número el...
Introducción• Yet another botnet• Con algunas curiosidades  – 3 familias de malware y un mismo panel bancario  – Número el...
Introducción• Yet another botnet• Con algunas curiosidades  – 3 familias de malware y un mismo panel bancario  – Número el...
¿3 Botnets y 1 panel? WTF???  C&C                   Config                  URLs, etc  Troyano                 Inyecciones
¿3 Botnets y 1 panel? WTF??? C&C             Config            URLs, etc Troyano           Inyecciones   2º C&C
Ejemplo 1 – N
Ejemplo 1 – N
Botnet Sopelka - CampañasCampaña Fecha      Troyano                       Path                       PaísesSopelka1 01/05 ...
Botnet Sopelka – Infección (I)• Exploit Kit: BlackHole
Botnet Sopelka – Infección (II)• SPAM
Botnet Sopelka - Injects• HTML mínimo en el fichero de configuración  – Fichero JS en servidor externo  – Un fichero por e...
Botnet Sopelka - Injects• Citadel• Tatanga
Botnet Sopelka - Injects• Tatanga no se utilizó hasta Julio, pero si  miramos las inyecciones utilizadas por Citadel…
Botnet Sopelka - Injects• 2FA
Botnet Sopelka - MyCoolSMS• Envío de SMS a las víctimas mediante API• Uso de cuenta “Executive”• Tres usuarios conocidos: ...
Botnet Sopelka – smshumor• Coincide con las campañas sopelka1/2 (mayo)  – De finales de marzo a principios de julio  – Mar...
Botnet Sopelka – smshumor• “BancoMovil” (99%) como remitente  – “SecureInfo” y “MobilBank”• 2407 SMS enviados  – 240 €
Botnet Sopelka – danieliv• Coincide con Feodo / Tatanga  – Campañas durante julio y agosto  – Únicamente .apk (76%) y .jad...
Botnet Sopelka - hgm• Activa desde 24-07-2012  – Usada activamente coincidiendo con la campaña    sopelka3 (sept)  – Envío...
Botnet Sopelka – Mobile apps• Malware conocido desde 2010  – Android     • 19 de julio  – BlackBerry     • 20 de agosto  –...
Botnet Sopelka – Mobile apps• Certificado del .sis  mail
Botnet Sopelka – Mobile apps• Certificado del .sis  mail
Botnet Sopelka – Panel bancario• Unificado• Ruso + Inglés
Botnet Sopelka – Panel bancario• Comandos: Inyecciones
Botnet Sopelka – Panel bancario• Comandos  – Server side  No todos implementados    • getinfo: info, incluso de transfere...
Botnet Sopelka – Panel bancario• Datos recolectados  – Al menos 9000 usuarios de banca afectados  – Configuraciones     • ...
Botnet Sopelka – Panel bancario    • Una BBDD por cada identificadorIdentificador       Fecha de primer uso   Fecha de últ...
Botnet Sopelka - Infraestructura•   Servidores de troyanos•   Servidores DNS•   Servidores panel bancario•   Servidores de...
Botnet Sopelka - Infraestructura• Servidores de troyanos    – Al menos 30 dominios•   Servidores DNS•   Servidores panel b...
Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS    – Nivel de complejidad++    – Al menos 2 domin...
Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS• Servidores panel bancario    – Al menos 8 domini...
Botnet Sopelka - Infraestructura•   Servidores de troyanos•   Servidores DNS•   Servidores panel bancario•   Servidores de...
Botnet Sopelka - Infraestructura•   Servidores de troyanos•   Servidores DNS•   Servidores panel bancario•   Servidores de...
Botnet Sopelka - Infraestructura•   Servidores de troyanos•   Servidores DNS•   Servidores panel bancario•   Servidores de...
Botnet Sopelka - Infraestructura•   Servidores de troyanos•   Servidores DNS•   Servidores panel bancario•   Servidores de...
Botnet Sopelka - Infraestructura• Stats dominios Citadel (autumn.kz, wet.kz, advia.kz)   – Localización IPs conectando a l...
Botnet Sopelka - Infraestructura• Stats dominios Citadel  – IPs diferentes conectando a advia.kz (05/09/2012)     5000    ...
Botnet Sopelka - Infraestructura• Stats dominios Citadel  – IPs diferentes totales (01/09/2012 - 07/09/2012)      14000   ...
Botnet Sopelka - Infraestructura• Feodo: más de 30.000 infectados  – Italia!!• Tatanga: unos 3.000 infectados  – Alemanes ...
Botnet Sopelka - Infraestructura• Actualización de binarios (Citadel)
Botnet Sopelka - Infraestructura• Actualización de binarios (Citadel)
Botnet Sopelka - Infraestructura• Actualización de binarios (Citadel)  – Robocrypt  – Styx
Botnet Sopelka - Infraestructura• Comunicación interna / tests  – Números de teléfono móvil     • Virtuales        – Españ...
Botnet Sopelka - Infraestructura• Comunicación interna / tests  – Números de teléfono móvil     • Virtuales        – Españ...
Botnet Sopelka - Infraestructura• Comunicación interna / tests  – Comunicación en inglés  – Datos apuntan a Manchester    ...
Botnet Sopelka - Resumen• Citadel / Tatanga / Feodo• Desde abril hasta finales de septiembre 2012• Injects + Mobile compon...
Eurograbber
Eurograbber
Eurograbber
Eurograbber
Eurograbber
Eurograbber
Eurograbber
Eurograbber•   Diferentes familias de malware•   Nuevo ataque ZitMo•   Bancos europeos•   Transferencias entre 200€ y 250....
Eurograbber• Diferentes familias de malware  – ZeuS  – SpyEye  – Carberp• Nuevo ataque ZitMo• Bancos europeos• Transferenc...
Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo  – Android          “…new and very successful  – BlackBerr...
Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo• Bancos europeos  – Italia (16)  – España (7)  – Alemania ...
Eurograbber•   Diferentes familias de malware•   Nuevo ataque ZitMo•   Bancos europeos•   Transferencias entre 200€ y 250....
Eurograbber•   Diferentes familias de malware•   Nuevo ataque ZitMo•   Bancos europeos•   Transferencias entre 200€ y 250....
Eurograbber• Se parece mucho a Sopelka…
Eurograbber• Se parece mucho a Sopelka…
Eurograbber• Diferentes familias de malware  – ZeuS Citadel  – SpyEye Tatanga / Hermes  – Feodo / Bugat / Cridex  – Carber...
Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo Mismo ZitMo que en 2010  – Android                    “…ne...
Eurograbber• Nuevo ataque ZitMo Mismo ZitMo que en 2010               “…new and very successful                variation o...
Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo• Bancos europeos  – Italia (16) (14)  – España (7) (16)  –...
Eurograbber•   Diferentes familias de malware•   Nuevo ataque ZitMo•   Bancos europeos•   Transferencias entre 200€ y 250....
Eurograbber• Transferencias entre 200€ y 250.000€
Eurograbber• 36 millones de euros WTF??!!
Eurograbber• 36 millones de euros WTF??!!      2012-07-24 03:50:58      xxxxx_4179183      21.038,54 €                 201...
Eurograbber• “Once the Eurograbber Trojans are installed on  the bank customer’s computer and mobile  phone, the malware l...
Eurograbber• “…the Eurograbber mobile Trojan intercepts  the SMS containing the TAN, hides it from the  customer and forwa...
Conclusiones• Sopelka es una botnet interesante  – 3 familias de malware y un único panel bancario  – Gran afectación  – C...
Agradecimientos•   S21sec e-crime•   Fox-IT Cybercrime•   Shadowserver & Abuse.ch•   ING Direct España (Alex!)•   …
¿Preguntas?
¡¡Gracias!!Mikel Gastesi   Jose Miguel Esparza  @mgastesi     @EternalTodo
José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million EUR? [Rooted CON 2013]
Upcoming SlideShare
Loading in …5
×

José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million EUR? [Rooted CON 2013]

2,351 views

Published on

La botnet Sopelka empezó a gestarse en mayo de 2012 y su actividad cesó a finales del mes de septiembre del mismo año. La curiosidad de esta botnet radicaba en el uso de un único panel de control para almacenar credenciales bancarias, pese a usarse hasta tres diferentes familias de malware bancario: Citadel, Tatanga y Feodo. Su objetivo principal era Europa, afectando en gran medida a España y Alemania, pero también a Holanda, Italia y Malta. Además, se hacía uso de diferentes componentes móviles para sistemas Android, BlackBerry y Symbian.

En diciembre de 2012 se publicó un informe sobre un "nuevo" malware bancario que había robado más de 36 millones de euros a entidades bancarias europeas. Rápidamente todos los medios hablaron de la noticia, pero realmente este incidente tenía mucho que ver con la botnet Sopelka y no era oro todo lo que relucía, 36 millones de euros eran muchos millones para estos tiempos de crisis.

  • Be the first to comment

  • Be the first to like this

José M. Esparza y Mikel Gastesi - Sopelka VS Eurograbber: really 36 million EUR? [Rooted CON 2013]

  1. 1. Sopelka VS Eurograbber Really 36 million EUR??Jose Miguel Esparza @EternalTodoMikel Gastesi @mgastesi
  2. 2. ¿Y quiénes son estos frikis?• Mikel Gastesi – S21sec Advanced Cybersecurity Services• Jose Miguel Esparza – ex-S21 – Fox-IT Cybercrime
  3. 3. Agenda• Introducción• Botnet Sopelka• Eurograbber• Conclusiones
  4. 4. Introducción• Yet another botnet• Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros
  5. 5. Introducción• Yet another botnet• Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros• Una botnet cualquiera?
  6. 6. Introducción• Yet another botnet• Con algunas curiosidades – 3 familias de malware y un mismo panel bancario – Número elevado de infecciones – Acceso a servicios de terceros• Una botnet cualquiera? – Eurograbber – 36 millones de euros??!!
  7. 7. ¿3 Botnets y 1 panel? WTF??? C&C Config URLs, etc Troyano Inyecciones
  8. 8. ¿3 Botnets y 1 panel? WTF??? C&C Config URLs, etc Troyano Inyecciones 2º C&C
  9. 9. Ejemplo 1 – N
  10. 10. Ejemplo 1 – N
  11. 11. Botnet Sopelka - CampañasCampaña Fecha Troyano Path PaísesSopelka1 01/05 Citadel /sopelka1/file.php|file=citsp1.exe ES,DE, 30/05 1.3.4.0 /sopelka1/file.php|file=sopelka1_config.bin NLSopelka2 01/05 Citadel /sopelka2/file.php|file=citsp2.exe ES 30/05 1.3.4.0 /sopelka2/file.php|file=sopelka2_config.binTatanga 15/06 Tatanga /sec/g.php IT, ES, 15/07 DE, NL Feodo 15/06 Feodo /zb/v_01_a/in/cp.php ES,NL, 15/07 DE, ITSopelka3 15/08 Citadel /sopelka3/file.php|file=citsp3.exe ES, DE 24/09 1.3.4.5 /sopelka3/file.php|file=sopelka3_config.bin
  12. 12. Botnet Sopelka – Infección (I)• Exploit Kit: BlackHole
  13. 13. Botnet Sopelka – Infección (II)• SPAM
  14. 14. Botnet Sopelka - Injects• HTML mínimo en el fichero de configuración – Fichero JS en servidor externo – Un fichero por entidad afectada – Descarga mediante fichero PHP • https://dominio.com/dir/get.php/campaignDir/?name =inyeccion.js – Técnica utilizada en las 3 familias de malware – Otra típica de Tatanga • x.php?cmdid=8&gettype=js&id=inyeccion.js&uid=0000
  15. 15. Botnet Sopelka - Injects• Citadel• Tatanga
  16. 16. Botnet Sopelka - Injects• Tatanga no se utilizó hasta Julio, pero si miramos las inyecciones utilizadas por Citadel…
  17. 17. Botnet Sopelka - Injects• 2FA
  18. 18. Botnet Sopelka - MyCoolSMS• Envío de SMS a las víctimas mediante API• Uso de cuenta “Executive”• Tres usuarios conocidos: smshumor/danieliv/hgm
  19. 19. Botnet Sopelka – smshumor• Coincide con las campañas sopelka1/2 (mayo) – De finales de marzo a principios de julio – Marzo y abril contiene tests desde la web – Uso de números virtuales FonYou para pruebas – Después URIs con enlaces a .jad (5.1%) y .apk (94.9%)
  20. 20. Botnet Sopelka – smshumor• “BancoMovil” (99%) como remitente – “SecureInfo” y “MobilBank”• 2407 SMS enviados – 240 €
  21. 21. Botnet Sopelka – danieliv• Coincide con Feodo / Tatanga – Campañas durante julio y agosto – Únicamente .apk (76%) y .jad (24%) otra vez – Envíos a Alemania / Italia / Holanda sobre todo – 574 SMS – 99.8€
  22. 22. Botnet Sopelka - hgm• Activa desde 24-07-2012 – Usada activamente coincidiendo con la campaña sopelka3 (sept) – Envío a números españoles y alemanes – También se ven enlaces a .sis (10%) – “TOCCO”… – Comunicación interna del gang – 1162 SMS • 188€
  23. 23. Botnet Sopelka – Mobile apps• Malware conocido desde 2010 – Android • 19 de julio – BlackBerry • 20 de agosto – Symbian • 9 y 20 de agosto• Mismos números de activación – Números virtuales suecos: • +46769436094 • +46769436073
  24. 24. Botnet Sopelka – Mobile apps• Certificado del .sis  mail
  25. 25. Botnet Sopelka – Mobile apps• Certificado del .sis  mail
  26. 26. Botnet Sopelka – Panel bancario• Unificado• Ruso + Inglés
  27. 27. Botnet Sopelka – Panel bancario• Comandos: Inyecciones
  28. 28. Botnet Sopelka – Panel bancario• Comandos – Server side  No todos implementados • getinfo: info, incluso de transferencias • newdate: avisa de nueva transferencia • has: preguntar al server si la info está en bbdd • getvalue: recuperar datos almacenados, como firma o valor de tarjeta de coordenadas • log: pues eso, log
  29. 29. Botnet Sopelka – Panel bancario• Datos recolectados – Al menos 9000 usuarios de banca afectados – Configuraciones • 60% afecta a entidades españolas • 15% afecta entidades alemanas • 15% italianas • Resto a Holanda y Money Transfers – Inyecciones contra más de 30 entidades • Datos de 5 entidades españolas y 2 alemanas – El directorio campaignDir diferencia campañas.
  30. 30. Botnet Sopelka – Panel bancario • Una BBDD por cada identificadorIdentificador Fecha de primer uso Fecha de último uso Uso respecto total/decit/ 2012-07-24 2012-09-19 30%/replace_hgsdonf/ 2012-05-04 2012-09-20 27%/fixan/ 2012-05-21 2012-09-06 19%/foxes/ 2012-05-21 2012-07-07 14%/fixit/ 2012-06-26 2012-08-15 5%/denew/ 2012-07-24 2012-09-17 4%/replace_zeus/ 2012-05-05 2012-09-18 0.7%/mex/ 2012-09-04 2012-09-20 0.2%/mes/ 2012-09-04 2012-09-19 0.1%/nor/ - - 0%/gni/ - - 0%
  31. 31. Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS• Servidores panel bancario• Servidores de injects• Servidores envío SMS• Proveedores envío/recepción SMS• Servidores componentes móviles
  32. 32. Botnet Sopelka - Infraestructura• Servidores de troyanos – Al menos 30 dominios• Servidores DNS• Servidores panel bancario• Servidores de injects• Servidores envío SMS• Proveedores envío/recepción SMS• Servidores componentes móviles
  33. 33. Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS – Nivel de complejidad++ – Al menos 2 dominios / 4 hosts (Citadel)• Servidores panel bancario• Servidores de injects• Servidores envío SMS• Proveedores envío/recepción SMS• Servidores componentes móviles
  34. 34. Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS• Servidores panel bancario – Al menos 8 dominios (proxys)• Servidores de injects• Servidores envío SMS• Proveedores envío/recepción SMS• Servidores componentes móviles
  35. 35. Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS• Servidores panel bancario• Servidores de injects – Un dominio• Servidores envío SMS• Proveedores envío/recepción SMS• Servidores componentes móviles
  36. 36. Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS• Servidores panel bancario• Servidores de injects• Servidores envío SMS – Al menos dos dominios• Proveedores envío/recepción SMS• Servidores componentes móviles
  37. 37. Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS• Servidores panel bancario• Servidores de injects• Servidores envío SMS• Proveedores envío/recepción SMS• Servidores componentes móviles
  38. 38. Botnet Sopelka - Infraestructura• Servidores de troyanos• Servidores DNS• Servidores panel bancario• Servidores de injects• Servidores envío SMS• Proveedores envío/recepción SMS• Servidores componentes móviles – Al menos 13 dominios
  39. 39. Botnet Sopelka - Infraestructura• Stats dominios Citadel (autumn.kz, wet.kz, advia.kz) – Localización IPs conectando a los dominios (05/09/2012) 2% 1% DE ES CH PT 38% IT HK 59% US NL UK AT JP DK IL EG
  40. 40. Botnet Sopelka - Infraestructura• Stats dominios Citadel – IPs diferentes conectando a advia.kz (05/09/2012) 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 DE ES CH PT IT
  41. 41. Botnet Sopelka - Infraestructura• Stats dominios Citadel – IPs diferentes totales (01/09/2012 - 07/09/2012) 14000 12000 10000 8000 6000 4000 2000 0 DE ES CH PT IT
  42. 42. Botnet Sopelka - Infraestructura• Feodo: más de 30.000 infectados – Italia!!• Tatanga: unos 3.000 infectados – Alemanes – Españoles
  43. 43. Botnet Sopelka - Infraestructura• Actualización de binarios (Citadel)
  44. 44. Botnet Sopelka - Infraestructura• Actualización de binarios (Citadel)
  45. 45. Botnet Sopelka - Infraestructura• Actualización de binarios (Citadel) – Robocrypt – Styx
  46. 46. Botnet Sopelka - Infraestructura• Comunicación interna / tests – Números de teléfono móvil • Virtuales – España  FonYou – Suecia  MyCoolSMS – Reino Unido  MyCoolSMS • Tarjetas prepago rusas (Beeline) – MyCoolSMS – SMS2Email – TextMarketer
  47. 47. Botnet Sopelka - Infraestructura• Comunicación interna / tests – Números de teléfono móvil • Virtuales – España  FonYou – Suecia  MyCoolSMS – Reino Unido  MyCoolSMS • Tarjetas prepago rusas (Beeline) – MyCoolSMS – SMS2Email – TextMarketer
  48. 48. Botnet Sopelka - Infraestructura• Comunicación interna / tests – Comunicación en inglés – Datos apuntan a Manchester • Uso del número de envío de SMS (hgm) • Uso de cuenta SMS2Email con IP de Manchester • Datos del dueño de la cuenta – Pero pagos con tarjetas virtuales rusas…
  49. 49. Botnet Sopelka - Resumen• Citadel / Tatanga / Feodo• Desde abril hasta finales de septiembre 2012• Injects + Mobile component (apk, jad, sis) – Sin transferencia automática• Afectación a 4 países europeos• Gran cantidad de usuarios afectados• Panel bancario en ruso / inglés• Grupo de diferentes nacionalidades(?)
  50. 50. Eurograbber
  51. 51. Eurograbber
  52. 52. Eurograbber
  53. 53. Eurograbber
  54. 54. Eurograbber
  55. 55. Eurograbber
  56. 56. Eurograbber
  57. 57. Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo• Bancos europeos• Transferencias entre 200€ y 250.000€
  58. 58. Eurograbber• Diferentes familias de malware – ZeuS – SpyEye – Carberp• Nuevo ataque ZitMo• Bancos europeos• Transferencias entre 200€ y 250.000€
  59. 59. Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo – Android “…new and very successful – BlackBerry variation of the ZITMO Trojan“• Bancos europeos• Transferencias entre 200€ y 250.000€
  60. 60. Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo• Bancos europeos – Italia (16) – España (7) – Alemania (6) – Holanda (3)• Transferencias entre 200€ y 250.000€
  61. 61. Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo• Bancos europeos• Transferencias entre 200€ y 250.000€
  62. 62. Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo• Bancos europeos• Transferencias entre 200€ y 250.000€• 36 millones de euros!!
  63. 63. Eurograbber• Se parece mucho a Sopelka…
  64. 64. Eurograbber• Se parece mucho a Sopelka…
  65. 65. Eurograbber• Diferentes familias de malware – ZeuS Citadel – SpyEye Tatanga / Hermes – Feodo / Bugat / Cridex – Carberp?• Nuevo ataque ZitMo• Bancos europeos• Transferencias entre 200€ y 250.000€
  66. 66. Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo Mismo ZitMo que en 2010 – Android “…new and very successful – BlackBerry variation of the ZITMO Trojan“ – Symbian “…Mobile version of Eurograbber Trojan”
  67. 67. Eurograbber• Nuevo ataque ZitMo Mismo ZitMo que en 2010 “…new and very successful variation of the ZITMO Trojan“
  68. 68. Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo• Bancos europeos – Italia (16) (14) – España (7) (16) – Alemania (6) (3) – Holanda (3) (1)• Transferencias entre 200€ y 250.000€
  69. 69. Eurograbber• Diferentes familias de malware• Nuevo ataque ZitMo• Bancos europeos• Transferencias entre 200€ y 250.000€
  70. 70. Eurograbber• Transferencias entre 200€ y 250.000€
  71. 71. Eurograbber• 36 millones de euros WTF??!!
  72. 72. Eurograbber• 36 millones de euros WTF??!! 2012-07-24 03:50:58 xxxxx_4179183 21.038,54 € 2012-07-23 22:43:56 xxxxx_1370498 14.984,62 € 2012-07-23 14:04:36 xxxxx_2812717 10.112,18 € 2012-07-23 13:45:45 xxxxx_1068462 31.339,07 € 2012-07-22 08:37:09 xxxxx_2887226 2012-07-22 08:23:44 85.602,18 € xxxxx_2629431 223.036,12 € 2012-07-22 02:31:02 xxxxx_1029564 38.506,79 €
  73. 73. Eurograbber• “Once the Eurograbber Trojans are installed on the bank customer’s computer and mobile phone, the malware lays dormant until the next time the customer accesses their bank account. ”• “Immediately upon a bank customer’s login, the cybercriminal initiates Eurograbber’s computer Trojan to start its own transaction to transfer a predefined percentage of money out of the customer’s bank account to a “mule” account owned by the attackers.”
  74. 74. Eurograbber• “…the Eurograbber mobile Trojan intercepts the SMS containing the TAN, hides it from the customer and forwards it to one of many relay phone numbers setup by the attackers. The SMS is then forwarded from the relay phone number to the drop zone where it is stored in the command and control database along with other user information”
  75. 75. Conclusiones• Sopelka es una botnet interesante – 3 familias de malware y un único panel bancario – Gran afectación – Componentes móviles – Comunicación interna• Eurograbber es puro marketing – Con algunos (pocos) adornos técnicos – Ventas/Marketing >>>> Soluciones/Colaboración• Mente crítica y analítica
  76. 76. Agradecimientos• S21sec e-crime• Fox-IT Cybercrime• Shadowserver & Abuse.ch• ING Direct España (Alex!)• …
  77. 77. ¿Preguntas?
  78. 78. ¡¡Gracias!!Mikel Gastesi Jose Miguel Esparza @mgastesi @EternalTodo

×