Español | English
rss facebook linkedin Twitter

Panel de control de Spitmo

La semana pasada analizábamos el comportamiento del módulo móvil usado por Spyeye para redirigir los SMSs de la víctima hacia el atacante. Pues bien, continuando con el análisis, se ha podido observar que para la recepción de los datos obtenidos por el malware, se usa un panel donde se recuperan todos los mensajes recibidos de una forma simple y clara.

El panel que se ha localizado se encuentra íntegramente en ruso, y solamente tiene un botón para refrescar los datos que muestra. Es muy simple y enfocado únicamente a mostrar con celeridad los datos recibidos. Es importante mencionar, que en el mismo host donde se alojaba el panel se encontraba también un panel de SpyEye, que aunque no parecían estar relacionados entre sí, el malware tenía como dropzone esa misma URL.

A continuación se puede ver una petición simulada para ver el comportamiento del panel y los datos que mostraría:



El supuesto proceso sería que el atacante realiza una transferencia usando los datos bancarios robados al usuario infectado con el Spitmo. En el momento en que el banco realiza la comprobación de que la transacción es válida, envía un SMS al móvil del usuario infectado, el cual es interceptado por le malware y reenviado al panel. De forma prácticamente instantánea, el atacante tiene el token válido para poder realizar la transacción.

Uno de los problemas de este proceso es que es completamente transparente para el usuario.

Todo esto nos hace pensar como de seguros estamos al tener un dispositivo que está continuamente interactuando con internet y del cual no tenemos un control completo sobre que hace en cada momento.

Juan Carlos Montes
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login