Управление К БСТМ России, отдел К БСТМ УМВД России по Ивановской области и Следственная часть следственного управления по Ивановской области при активном содействии Group-IB пресекли деятельность киберпреступной группы, укравшей десятки миллионов рублей при помощи атак на мобильные устройства клиентов российских банков.

Действия преступной группы, распространяющей вредоносные программы под названием Cron ("Крон") для ОС Android, были зафиксированы системой киберразведки Group-IB весной 2015 г.

Попадая на телефон жертвы, вредоносная программа злоумышленников получала возможность осуществлять переводы с ее банковского счета на счета, подконтрольные злоумышленникам. Программа Cron могла отправлять SMS-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой SMS-сообщений на удаленные сервера, а также скрывать поступающие по SMS уведомления от банка.

Менее чем за год хакерам удалось заразить более миллиона мобильных устройств. В среднем ежедневно им удавалось заразить 3 500 устройств. Общий ущерб от деятельности группировки Cron составил более 50 млн руб. Попадая на телефон, вредоносная программа автоматически пыталась переводить деньги на подконтрольные хакерам банковские карты и телефоны. За время деятельности хакеры открыли более 6 тыс. счетов. Каждый день вирус пытался похитить деньги у 50-60 клиентов разных банков. Средний объем хищений - около 8 тыс. руб.

Операция по задержанию большей части преступной группы состоялась 22 ноября 2016 г. – тогда на территории 6 субъектов Российской Федерации были задержаны сразу 16 ее участников. Организаторы группировки были задержаны в Иваново.

Вредоносная программа распространялась двумя основными способами. В первом случае проводилась SMS-рассылка со ссылкой на зараженный вредоносным ПО ресурс. Текст выглядел примерно так: "Ваше объявление опубликовано на сайте…" или "Ваши фотографии размещены здесь...". После перехода на указанный сайт на устройство пользователя загружалась вредоносная программа, которую он должен был установить самостоятельно.

Во втором случае жертва могла получить вредоносную программу на свое устройство, скачивая фейковые приложения, замаскированные под легитимные. Троян распространялся под видом следующих приложений: Navitel, Framaroot, Pornhub, Avito и др.

"Согласно нашему годовому исследованию трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров. В 2016 г. ущерб от инцидентов с Android-троянами у физических лиц составил более 348 млн руб. Почему именно пользователи ОС Android стали основной мишенью, объясняется просто: почти 85% смартфонов в мире работает на платформе Android", - сказал глава департамента киберразведки, сооcнователь Group-IB Дмитрий Волков.

Группа действовала на территории России, но особый интерес представляет тот факт, что в июне 2016 г. члены группы за $2 тыс. в месяц взяли в аренду банковский мобильный троян "Tiny.z" - более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков.

"Tiny.z" была адаптирована для атак на банки Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и ряда других стран. Механизм действия вредоносной программы: после попадания на телефон жертвы троян искал на нем банковское приложение и выводил универсальное окно для ввода персональных данных, в которое подставлял иконку и название банка, взятые из Google Play.

В качестве основной цели на первое время группировка Cron выбрала банки Франции. Для этого они адаптировали вредоносное приложение для атак на Credit Agricole, Assuarance Banque, Banque Populaire, BNP Paribas, Boursorama, Caissee Pargne, Societe General и LCL. Однако воспользоваться этой вредоносной программой они не успели, так как были задержаны.

Как не стать жертвой мобильного трояна:

• Пользователи ОС Android более уязвимы и должны быть предельно бдительны. Не переходите по присланным ссылкам, даже если они отправлены с ящика ваших знакомых или коллег. Их аккаунты тоже могут взломать. Скачивайте мобильные приложения только с официального сайта или магазина.
• Держите свой смартфон в тонусе. Специалисты советуют не рутовать свои мобильные устройства, своевременно обновлять прошивку, т. к. апдейты, кроме всего прочего, содержат security-патчи. Установите на устройство защитное решение – это минимизирует риски.
• Не стесняйтесь обращаться за помощью в банк. В случае подозрительной активности вокруг вашего банковского счета, воровства/мошенничества, незамедлительно обратитесь в банк.

Трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров. В 2015 г. ущерб от инцидентов с Android-троянами у пользователей интернет-банкинга составил более 61 млн руб.

Почему именно пользователи ОС Android стали основной мишенью, объясняется просто: почти 85% смартфонов в мире работает на платформе Android, в отличие от iOS это открытая экосистема с незначительной цензурой. Неудивительно, что большинство вирусов пишутся именно под нее.

Чтобы грабить пользователей интернет-банков, не обязательно самому быть вирусописателем: готовые вредоносные программы можно купить или взять в аренду на хакерских форумах. Про организаторов Cron известно, что они уже были судимы за разные преступления. Криминалитет все больше привлекает преступления в сфере высоких технологий: это очень большие и сравнительно "легкие" деньги. Однажды Group-IB следили за хакером, который на кражах в интернет-банкинге зарабатывал до $20 млн в месяц.