Het botnet mikte niet alleen op de mobiele besturingssystemen Android en BlackBerry, maar uiteindelijk ook op Symbian. De aanval kwam uit Kazachstan, de meeste slachtoffers waren Duitsers en Spanjaarden. Nederlanders waren zowel bij aanvallen op 30 mei, 15 juni als 15 juli het mikpunt van de diverse malware uit het botnet.

Op 30 mei ondernam het Sopelka-botnet een aanval op Nederland met de Citadel-trojan. De trojans Feodo en Tatanga volgden op de twee navolgende eerder genoemde data. De versies van Citadel die er op uit werden gestuurd waren 1.3.4.0 en 1.3.4.5, zo meldt Jose Miguel Esparza van S21sec, een Spaanse cybersecurityorganisatie.

Symbian: terug naar de roots

De eerste serie aanvallen van dit jaar waren nog gericht op de mobiele platforms van Android en BlackBerry, maar in de latere versies werd Symbian eraan toegevoegd. Daarmee keerden de makers weer terug naar de oorsprong van dit soort man-in-the-middle aanvallen van ZeuS, de voorloper van Citadel, dat in eerste instantie juist was gericht op Symbian. Dat werd toentertijd uitgevoerd via een combinatie met afvang van gebruikersnaam en wachtwoord op de computer en het overnemen van de telefoon via sms.

De nieuwe aanvallen worden uitgevoerd met HTML-injectie via JavaScript. Vervolgens werd een PHP-bestand geladen vanaf een externe server. Bankgegevens werden weer gestuurd naar een andere server die specifiek was opgezet om verzamelde bankgegevens op te slaan. Ook werden opnieuw sms'jes afgevangen die gebruikt werden ter authenticatie.

Sinkhole vangt domeintraffic af

Onderzoekers van Shadowserver en Abuse.ch hebben een sinkhole opgezet waarmee een aantal Citadel-domeinen werden afgevangen, zoals autumn.kz, wet.kz en advia.kz, daarbij geholpen door mensen van het Nederlandse Fox-IT. Onbekend is wat de rol van de Nederlanders is geweest. Webwereld heeft Fox-IT daarom gevraagd, maar nog geen antwoord gekregen.

Uit de statistieken bleek vervolgens dat meer dan de helft van de geïnfecteerde machines zich in Duitsland bevonden (59 procent) en 38 procent ervan in Spanje. Ondanks de gerichte aanvallen op Nederland bleek het aantal besmettingen mee te vallen in dit geval.