Представители Управления «К» МВД России и сотрудники компании Group-IB, помогавшие правоохранительным органам в расследовании, рассказали о проведении масштабной операции, целью которой было прекращение работы крупной хакерской группировки Cron. Именно эта группа разработала банковский троян Cron для Android и инфостилер PonyForx для Windows систем.

Как оказалось, еще 22 ноября 2016 года в шести регионах России была проведена масштабная операция: задержаны 16 участников группы Cron, в состав которой входило двадцать человек. Последний активный участник группы был задержан в начале апреля 2017 года в Санкт-Петербурге.

Официальное сообщение МВД гласит:

«В ходе поведения оперативно-розыскных мероприятий было установлено, что в состав группы входит 20 человек, проживающих на территории Ивановской, Московской, Ростовской, Челябинской, Ярославской областей и Республики Марий Эл, а организатором незаконного бизнеса является 30-летний житель г. Иваново.

Участники группы были задержаны. В отношении 4 задержанных судом избрана мера пресечения в виде заключения под стражу, в отношении остальных – подписка о невыезде. На территории 6 регионов России проведено 20 обысков, в ходе которых изъята компьютерная техника, сотни банковских карт и сим-карт, оформленных на подставных лиц.

За время противоправной деятельности злоумышленники заразили троянской программой более миллиона смартфонов, а ущерб от их деятельности превысил 50 миллионов рублей».

Более подробно о деятельности Cron поведали специалисты Group-IB в официальном блоге. Так, малварь Cron впервые попала в поле зрения экспертов еще в 2015 году, когда на хакерских форумах начали распространять Android-вредоносы viber.apk, Google-Play.apk и Google_Play.apk, и малварь Cron атаковала пользователей крупных российских банков из ТОП-50.

Аналитики компании отмечают, что организаторы группировки ранее уже были судимы за различные преступления:

«Криминалитет все больше привлекают преступления в сфере высоких технологий — это очень большие и сравнительно «легкие» деньги: однажды Group-IB следили за хакером, который на кражах в интернет-банкинге зарабатывал до 20 млн долларов в месяц».

Банковский троян группировки работал по давно проверенной и отработанной киберкриминалом схеме. Cron распространялся двумя способами: с помощью SMS-рассылок, когда жертва получала сообщение с текстом вроде: «Ваше объявление опубликовано на сайте ….» или «Ваши фотографии размещены здесь...». После перехода по указанной ссылке пользователя обманом вынуждали установить вредоносное приложение. Второй способ также совсем не нов: Cron маскировался под легитимные приложения Navitel, Framaroot, Pornhub, Avito и так далее.

Попадая на телефон жертвы, троян мог автоматически переводить деньги с банковского счета пользователя на счета, подконтрольные злоумышленникам (для чего те открыли более 6 000 счетов). Заразив устройство, троян помещался в автозагрузку устройства и мог отправлять SMS-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой SMS-сообщений на удаленные серверы, а также скрывать поступающие по SMS уведомления от банка. Таким образом, меньше чем за год Cron удалось заразить более миллиона мобильных устройств. В среднем злоумышленники успешно атаковали 3 500 устройств в день.

В 2016 году специалисты заметили, что на одном из хакерских форумов появилось объявление о сдаче в аренду мобильного трояна под названием cronbot (см. иллюстрацию ниже). В описании говорилось, что малварь обладает функциональными возможностями по перехвату SMS-сообщений, звонков, осуществлению отправки USSD-запросов, инжектов. Тогда сотрудники Group-IB предположили, что преступная группа решила найти еще одного человека в команду, так как, по словам автора объявления, троян сдавался только в одни руки. К тому времени в группу Cron, помимо организаторов, входили партнеры-заливщики, крипторы, трафферы и обнальщики.

Объявление о сдаче в аренду cronbot

Заработав денег в России, участники Cron приняли решение расширяться. Так, в июне 2016 года группировка арендовала банковский троян Tiny.z, заплатив за аренду $2000 в месяц. Tiny.z — это более универсальный банковский вредонос, который нацелен не только на клиентов российских банков, но также на зарубежные финансовые организации.

Изучив панель управления ботнетом (на иллюстрациях выше), исследователи пришли к выводу, что это та же самая панель, которую ранее использовала группа 404, воровавшая деньги у клиентов российских банков. Тогда специалисты предположили, что после задержания в 2015 году в Нижнем Новгороде участника группы 404, известного под псевдонимом Foxxx, злоумышленники переписали вредоносную программу. Дело в том, что Tiny.z адаптировали для атак на банки Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и других стран. Троян искал на устройстве жертвы банковское приложение и выводил универсальное окно для ввода персональных данных, в которое подставлял иконку и название банка, взятые из Google Play.

Используя Tiny.z , группировка Cron выбрала в качестве основной цели банки Франции. Для этого хакеры разработали специальные инжекты для банков Credit Agricole, Assurance Banque, Banque Populaire, BNP Paribas, Boursorama, Caisse d'Epargne, Societe Generale and LCL.

К ноябрю 2016 года Управление «К» БСТМ России, отдел К БСТМ УМВД России по Ивановской области и Следственная часть следственного управления по Ивановской области, при участии Group-IB, смогли установить личности 20 членов группы и собрать все необходимые цифровые доказательства совершенных преступлений. Тогда и был дан старт масштабной операции, призванной прекратить деятельность группы.

Фото: Group-IB

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии