Журнал ИКС

Разделы сайта

• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Календарь

		Апрель 2024
Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

Ближайшие события

Ликвидирована группа киберпреступников, похитившая свыше 50 миллионов рублей

22 мая 2017

МВД и Group-IB ликвидировали группу, заразившую миллион смартфонов с помощью банковского трояна «Cron». Меньше чем за год вредоносное ПО было установлено более чем на 1 млн устройств, а ущерб от деятельности преступников превысил 50 миллионов рублей.

Впервые про Cron стало известно в марте 2015 года: система киберразведки Group-IB зафиксировала активность новой преступной группы, распространяющей на хакерских форумах вредоносные программы «viber.apk», «Google-Play.apk», «Google_Play.apk» для ОС Android. Cron атаковал пользователей крупных российских банков из ТОП-50. К тому времени практически все банки запустили свои мобильные приложения. Мобильным банкингом, по данным ЦБ, пользовалось 20% взрослого населения России. При этом почти 85% смартфонов в мире работает на платформе Android, в отличие от iOS это открытая экосистема с незначительной цензурой, так что неудивительно, говорят в Group-IB, что большинство вирусов пишутся именно под нее.

Про организаторов Cron известно, что они уже были судимы за разные преступления. Схема была простой: попадая на телефон жертвы, троян мог автоматически переводить деньги с банковского счета пользователя на счета, подконтрольные злоумышленникам. Для этого хакеры открыли более 6 000 счетов. Ежедневно преступники заражали 3 500 телефонов на базе ОС Android.

После установки программа помещалась в автозагрузку устройства и сама могла отправлять SMS-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой SMS-сообщений на удаленные сервера, а также скрывать поступающие по SMS уведомления от банка.

Каждый день вредоносная программа пыталась похитить деньги у 50-60 клиентов разных банков. Средний объем хищений — около 8 000 рублей. Общий ущерб от действий Cron оценивается, как минимум, в 50 млн рублей.
Телефоны заражали двумя основными способами: либо через sms-рассылку со ссылкой на вредоносный ресурс с банковским трояном, либо через фейковые приложения, замаскированные под легитимные. Троян распространяется под видом приложений Navitel, Framaroot, Pornhub, Avito и другие.

В апреле 2016 года на одном из хакерских форумов появилось объявление о сдаче в аренду мобильного трояна под названием cronbot. В описании говорилось, что троян обладает функциональными возможностями по перехвату SMS-сообщений, звонков, осуществлению отправки USSD-запросов, инжектов. Мы предположили, что преступная группа решила найти еще одного человека в команду, так как, по словам автора объявления, они сдают троян только в одни руки. К тому времени в группу, кроме организаторов, входили партнеры-заливщики, крипторы, трафферы и обнальщики.

Заработав денег в России, Cron решил расширяться. В июне 2016 года они за $2000 в месяц взяли в аренду банковский мобильный троян «Tiny.z» - более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков.

Специалисты Group-IB обнаружили «Tiny.z» еще в начале 2016 года. По даным экспертов, панель управления ботнетомбыла той же самой, которую использовала группа «404», воровавшая деньги у клиентов российских банков. Вероятно, после задержания в 2015 году в Нижнем Новгороде участника группы «404», известного под псевдонимом Foxxx, злоумышленники переписали вредоносную программу.

Создатели адаптировали программу «Tiny.z» для атак на банки Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и других стран. Троян искал на телефоне жертвы банковское приложение и выводил универсальное окно для ввода персональных данных, в которое подставлял иконку и название банка, взятые из Google Play.

В качестве основной цели группировка Cron выбрала банки Франции. Для этого они разработали специальные инжекты для банков Credit Agricole, Assuarance Banque, Banque Populaire, BNP Paribas, Boursorama, Caissee Pargne, Societe General и LCL.

К ноябрю 2016 года Управление К БСТМ России, отдел К БСТМ УМВД России по Ивановской области и Следственная часть следственного управления по Ивановской области при участии Group-IB смогли установить 20 членов группы, проживающих на территории Ивановской, Московской, Ростовской, Челябинской, Ярославской областей и Республики Марий Эл. Лидером группы был 30-летний житель Иваново. В ноябре 2016 года в 6 регионах России была проведена масштабная операция, в ходе которой были задержаны 16 участников Cron. Последний активный участник группы был задержан в апреляе 2017 года в Санкт-Петербурге.

На территории 6 регионов России проведено 20 обысков, в ходе которых изъята компьютерная техника, сотни банковских карт и сим-карт, оформленных на подставных лиц. Возбуждено уголовное дело по признакам составов преступлений, предусмотренных ч. 4 ст. 159.6 УК РФ (мошенничество в сфере компьютерной информации). В отношении четырех задержанных судом избрана мера пресечения в виде заключения под стражу, в отношении остальных – подписка о невыезде.

По материалам открытых источников

Оставить свой комментарий:

Комментарии по материалу

Данный материал еще не комментировался.

Заметили ошибку в тексте? Выделите её мышью и нажмите Ctrl+Enter. Спасибо!