Όταν ανακαλύφθηκε για πρώτη φορά το 2012 οι ερευνητές της Trusteer, δήλωσαν ότι το Tilon είναι “ο γιος” ενός γνωστού malware που ονομάζεται Silon. Ωστόσο, οι ειδικοί από την Fox-IT αναφέρουν ότι το Tilon θα πρέπει να ονομάζεται SpeEye2. (κατεβάστε την έρευνα σε PDF)
Οι ερευνητές πιστεύουν ότι το Tilon δημιουργήθηκε από μια ομάδα ανάπτυξης της οποίας επικεφαλής ήταν ο Ρώσος Aleksandr Andreevich Panin ( γνωστός και ως “Gribodemon”). Τον Οκτώβριο του 2011, μετά την κυκλοφορία του SpyEye 1.3.48, η ομάδα άρχισε να εργάζεται σε ένα side project, μιας ιδιωτικής πλατφόρμας Trojan για ενοικίαση.
Οι ερευνητές της Trusteer, ανέφεραν ότι το Tilon είναι βασισμένο στο Silon λόγω της ομοιότητας του loader component. Ωστόσο, η Fox-IT αναφέρει ότι οι λειτουργικές συνιστώσες του Tilon στην πραγματικότητα βασίζονται στο SpyEye, κάτι το οποίο σημαίνει ότι οι προγραμματιστές είχαν πρόσβαση στον πηγαίο κώδικα του SpyeEye.
“Κοιτάζοντας το backend του SpyEye2, πολλά έχουν αλλάξει. Υπάρχει ένα ενιαίο σύστημα backend που μοιάζει έντονα με το αρχικό SpyEye RDP backconnect daemon και περιέχει πολύ κώδικα από το SpyEye collector, αλλά χρησιμοποιώντας το πρωτόκολλο HTTP αυτή τη φορά,” δήλωσε ένα ειδικός της Fox-IT.
“Το server side component ονομάζεται “dae” ( συντομογραφία για το daemon, ένα κοινό όνομα για μια υπηρεσία Unix, η οποίο επίσης χρησιμοποιείται από τη συνιστώσα του RDP backconnect του SpyEye), και συνδυάζει τον έλεγχο του bot, τα δεδομένα καταγραφής, τη λειτουργικότητα του RDP και των socks και τη διαχείριση της διάρθρωσης του webinject σε μια ενιαία πλατφόρμα.”
Το γεγονός ότι το Tilon είναι πραγματικά το SpyEye2 αποδεικνύεται επίσης από το γεγονός ότι μετά τη σύλληψη του Panin, έχει παρατηρηθεί σημαντική μείωση της δραστηριότητας του.
Τώρα μάλιστα που ο Panin ομολόγησε την ενοχή του, θα περάσετε πιθανώς πολλά χρόνια πίσω από τα κάγκελα. Αξίζει να σημειωθεί ότι ομολόγησε την ενοχή του σε συνωμοσία για τη διάπραξη online τραπεζικής απάτης, και παραδέχθηκε ότι ο κύριος προγραμματιστής και διανομέας του SpyEye. Ωστόσο, αυτό δεν σημαίνει κατ ‘ανάγκη ότι η υπόλοιπη ομάδα του θα εγκαταλείψει την ανάπτυξη του malware.
