Управление К БСТМ России, отдел К БСТМ УМВД России по Ивановской области и Следственная часть следственного управления по Ивановской области при активном содействии Group-IB пресекли деятельность киберпреступной группы, укравшей десятки миллионов рублей при помощи атак на мобильные устройства клиентов российских банков.
Действия преступной группы, распространяющей вредоносные программы под названием «Cron» (Крон) для ОС Android, были зафиксированы системой киберразведки Group-IB весной 2015 года.
Попадая на телефон жертвы, вредоносная программа злоумышленников получала возможность осуществлять переводы с ее банковского счета на счета, подконтрольные злоумышленникам. Программа Cron могла отправлять SMS-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой SMS-сообщений на удаленные сервера, а также скрывать поступающие по SMS уведомления от банка.
Менее, чем за год хакерам удалось заразить более миллиона мобильных устройств. В среднем ежедневно им удавалось заразить 3 500 устройств. Общий ущерб от деятельности группировки Cron составил более 50 млн. рублей. Попадая не телефон, вредоносная программа автоматически пыталась переводить деньги на подконтрольные хакерам банковские карты и телефоны. За время деятельности хакеры открыли более 6 тысяч счетов. Каждый день вредоносная программа пыталась похитить деньги у 50-60 клиентов разных банков. Средний объем хищений — около 8 тысяч рублей.
Операция по задержанию большей части преступной группы состоялась 22 ноября 2016 года — тогда на территории 6 субъектов Российской Федерации были задержаны сразу 16 ее участников. Организаторы группировки были задержаны в Иваново.
Вредоносная программа распространялась двумя основными способами:
1. SMS-рассылка со ссылкой на зараженный вредоносным ПО ресурс. Текст выглядел примерно так: «Ваше объявление опубликовано на сайте....» или «Ваши фотографии размещены здесь...». После перехода на указанный сайт на устройство пользователя загружалась вредоносная программа, которую он должен был установить самостоятельно. 2. Жертва могла получить вредоносную программу на свое устройство, скачивая фейковые приложения, замаскированные под легитимные. Троян распространялся под видом следующих приложений: Navitel^; Framaroot^; Pornhub^; Avito и др.
«Согласно нашему годовому исследованию, трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров. В 2016 году ущерб от инцидентов с Android-троянами у физических лиц составил более 348 млн рублей. Почему именно пользователи ОС Android стали основной мишенью, объясняется просто: почти 85% смартфонов в мире работает на платформе Android» — сказал глава департамента киберразведки, со-оcнователь Group-IB Дмитрий Волков.
Группа действовала на территории России, но особый интерес представляет тот факт, что в июне 2016 года члены группы за ^$2000 в месяц взяли в аренду банковский мобильный троян «Tiny. z» — более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков.
«Tiny. z» была адаптирована для атак на банки Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и ряда других стран. Механизм действия вредоносной программы: после попадания на телефон жертвы троян искал на нем банковское приложение и выводил универсальное окно для ввода персональных данных, в которое подставлял иконку и название банка, взятые из Google Play.
В качестве основной цели на первое время группировка Cron выбрала банки Франции. Для этого они адаптировали вредоносное приложение для атак на Credit Agricole, Assuarance Banque, Banque Populaire, BNP Paribas, Boursorama, Caissee Pargne, Societe General и LCL. Однако воспользоваться этой вредоносной программой они не успели, так как были задержаны.
Больше информации — в блоге Group-IB по ссылке http://blog. group-ib. ru/cron