Group-IB помогла МВД задержать хакерскую группировку, укравшую десятки миллионов рублей при помощи атак на мобильные устройства клиентов российских банков.
Управление К БСТМ России, отдел К БСТМ УМВД России по Ивановской области и Следственная часть следственного управления по Ивановской области при активном содействии Group-IB пресекли деятельность киберпреступной группы, укравшей десятки миллионов рублей при помощи атак на мобильные устройства клиентов российских банков.
Действия преступной группы, распространяющей вредоносные программы под названием "Cron" (Крон) для ОС Android, были зафиксированы системой киберразведки Group-IB весной 2015 года.
Попадая на телефон жертвы, вредоносная программа злоумышленников получала возможность осуществлять переводы с ее банковского счета на счета, подконтрольные злоумышленникам. Программа Cron могла отправлять SMS-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой SMS-сообщений на удаленные сервера, а также скрывать поступающие по SMS уведомления от банка.
Менее, чем за год хакерам удалось заразить более миллиона мобильных устройств. В среднем ежедневно им удавалось заразить 3 500 устройств. Общий ущерб от деятельности группировки Cron составил более 50 млн. рублей. Попадая не телефон, вредоносная программа автоматически пыталась переводить деньги на подконтрольные хакерам банковские карты и телефоны. За время деятельности хакеры открыли более 6 тысяч счетов. Каждый день вирус пытался похитить деньги у 50-60 клиентов разных банков. Средний объем хищений - около 8 тысяч рублей.
Операция по задержанию большей части преступной группы состоялась 22 ноября 2016 года – тогда на территории 6 субъектов Российской Федерации были задержаны сразу 16 ее участников. Организаторы группировки были задержаны в Иваново.
Вредоносная программа распространялась двумя основными способами. В первом случае проводилась SMS-рассылка со ссылкой на зараженный вредоносным ПО ресурс. Текст выглядел примерно так: "Ваше объявление опубликовано на сайте ∎." или "Ваши фотографии размещены здесь...". После перехода на указанный сайт на устройство пользователя загружалась вредоносная программа, которую он должен был установить самостоятельно.
Во втором случае жертва могла получить вредоносную программу на свое устройство, скачивая фейковые приложения, замаскированные под легитимные. Троян распространялся под видом следующих приложений: Navitel; Framaroot; Pornhub; Avito и др.
"Согласно нашему годовому исследованию, трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров. В 2016 году ущерб от инцидентов с Android-троянами у физических лиц составил более 348 млн рублей. Почему именно пользователи ОС Android стали основной мишенью, объясняется просто: почти 85% смартфонов в мире работает на платформе Android" - сказал глава департамента киберразведки, со-оcнователь Group-IB Дмитрий Волков.
Трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров. В 2015 году ущерб от инцидентов с Android-троянами у пользователей интернет-банкинга составил более 61 млн рублей.
Почему именно пользователи ОС Android стали основной мишенью, объясняется просто: почти 85% смартфонов в мире работает на платформе Android, в отличие от iOS это открытая экосистема с незначительной цензурой, неудивительно, что большинство вирусов пишутся именно под нее.
Чтобы грабить пользователей интернет-банков, не обязательно самому быть вирусописателем — готовые вредоносные программы можно купить или взять в аренду на хакерских форумах. Про организаторов Cron известно, что они уже были судимы за разные преступления. Криминалитет все больше привлекают преступления в сфере высоких технологий — это очень большие и сравнительно "легкие" деньги: однажды Group-IB следили за хакером, который на кражах в интернет-банкинге зарабатывал до $20 млн в месяц.
Группа действовала на территории России, но особый интерес представляет тот факт, что в июне 2016 года члены группы за $2000 в месяц взяли в аренду банковский мобильный троян "Tiny.z" - более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков.
"Tiny.z" была адаптирована для атак на банки Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и ряда других стран. Механизм действия вредоносной программы: после попадания на телефон жертвы троян искал на нем банковское приложение и выводил универсальное окно для ввода персональных данных, в которое подставлял иконку и название банка, взятые из Google Play.
В качестве основной цели на первое время группировка Cron выбрала банки Франции. Для этого они адаптировали вредоносное приложение для атак на Credit Agricole, Assuarance Banque, Banque Populaire, BNP Paribas, Boursorama, Caissee Pargne, Societe General и LCL. Однако воспользоваться этой вредоносной программой они не успели, так как были задержаны.
Действия преступной группы, распространяющей вредоносные программы под названием "Cron" (Крон) для ОС Android, были зафиксированы системой киберразведки Group-IB весной 2015 года.
Попадая на телефон жертвы, вредоносная программа злоумышленников получала возможность осуществлять переводы с ее банковского счета на счета, подконтрольные злоумышленникам. Программа Cron могла отправлять SMS-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой SMS-сообщений на удаленные сервера, а также скрывать поступающие по SMS уведомления от банка.
Оперативная съемка задержания члена группировки
Как не стать жертвой мобильного трояна:
- Пользователи ОС Android более уязвимы и должны быть предельно бдительны. Не переходите по присланным ссылкам, даже если они отправлены с ящика ваших знакомых или коллег. Их аккаунты тоже могут взломать. Скачивайте мобильные приложения только с официального сайта или магазина.
- Держите свой смартфон в тонусе. Специалисты советуют не рутовать свои мобильные устройства, своевременно обновлять прошивку, т.к. апдейты кроме всего прочего содержат security-патчи. Установить на устройство защитное решение – это минимизирует риски.
- Не стесняйтесь обращаться за помощью в банк.
В случае подозрительно активности вокруг вашего банковского счета, воровства/мошенничества, незамедлительно обратитесь в банк.
[/LI
Операция по задержанию большей части преступной группы состоялась 22 ноября 2016 года – тогда на территории 6 субъектов Российской Федерации были задержаны сразу 16 ее участников. Организаторы группировки были задержаны в Иваново.
Вредоносная программа распространялась двумя основными способами. В первом случае проводилась SMS-рассылка со ссылкой на зараженный вредоносным ПО ресурс. Текст выглядел примерно так: "Ваше объявление опубликовано на сайте ∎." или "Ваши фотографии размещены здесь...". После перехода на указанный сайт на устройство пользователя загружалась вредоносная программа, которую он должен был установить самостоятельно.
Во втором случае жертва могла получить вредоносную программу на свое устройство, скачивая фейковые приложения, замаскированные под легитимные. Троян распространялся под видом следующих приложений: Navitel; Framaroot; Pornhub; Avito и др.
"Согласно нашему годовому исследованию, трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров. В 2016 году ущерб от инцидентов с Android-троянами у физических лиц составил более 348 млн рублей. Почему именно пользователи ОС Android стали основной мишенью, объясняется просто: почти 85% смартфонов в мире работает на платформе Android" - сказал глава департамента киберразведки, со-оcнователь Group-IB Дмитрий Волков.
Почему именно пользователи ОС Android стали основной мишенью, объясняется просто: почти 85% смартфонов в мире работает на платформе Android, в отличие от iOS это открытая экосистема с незначительной цензурой, неудивительно, что большинство вирусов пишутся именно под нее.
Чтобы грабить пользователей интернет-банков, не обязательно самому быть вирусописателем — готовые вредоносные программы можно купить или взять в аренду на хакерских форумах. Про организаторов Cron известно, что они уже были судимы за разные преступления. Криминалитет все больше привлекают преступления в сфере высоких технологий — это очень большие и сравнительно "легкие" деньги: однажды Group-IB следили за хакером, который на кражах в интернет-банкинге зарабатывал до $20 млн в месяц.
Группа действовала на территории России, но особый интерес представляет тот факт, что в июне 2016 года члены группы за $2000 в месяц взяли в аренду банковский мобильный троян "Tiny.z" - более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков.
"Tiny.z" была адаптирована для атак на банки Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и ряда других стран. Механизм действия вредоносной программы: после попадания на телефон жертвы троян искал на нем банковское приложение и выводил универсальное окно для ввода персональных данных, в которое подставлял иконку и название банка, взятые из Google Play.
В качестве основной цели на первое время группировка Cron выбрала банки Франции. Для этого они адаптировали вредоносное приложение для атак на Credit Agricole, Assuarance Banque, Banque Populaire, BNP Paribas, Boursorama, Caissee Pargne, Societe General и LCL. Однако воспользоваться этой вредоносной программой они не успели, так как были задержаны.
