В Чувашии вынесен приговор в отношении участника хакерской группы TipTop, в течение нескольких лет атаковавшей клиентов крупнейших российских банков. Группировка совершала кражи с банковских карт граждан с использованием мобильной малвари. Участник группы был задержан в результате проведенной спецоперации отдела «К» МВД по Чувашской Республике совместно с Управлением «К» МВД России, при содействии экспертов Group-IB. Ниже можно увидеть видео задержания, опубликованное компанией.

Распространение малвари происходило путем ее маскировки под популярные приложения для мобильных устройств. После скачивания такого приложения на устройства жертв автоматически загружалось вредоносное ПО, предоставлявшее преступникам доступ к системе мобильного банкинга.

«Данная группа получила рабочее название TipTop. Ее главной целью были клиенты крупных российских банков — пользователи смартфонов на ОС Android. Для заражения телефонов злоумышленники маскировали вредоносные программы под мобильные приложения известных банков из ТОП-10, а также под мессенджер Viber, магазин приложений Google Play или графические приложения компании Adobe. Ссылки на них киберпреступники размещали на собственных ресурсах или взломанных легитимных сайтах. Чтобы увеличить количество жертв, злоумышленники выкупали рекламу в поисковиках по запросу “мобильный банк” и размещали там ссылки на свои ресурсы», — рассказывает Сергей Лупанин, руководитель отдела расследований Group-IB.

Таким образом на устройства жертв проникал банковский Android-троян Hqwar (также известный как Agent.BID). Однако хакеры пробовали разные инструменты и схемы вывода денежных средств, что затрудняло атрибуцию с конкретной атакой.

Так, в 2015 году для заражения клиентов российских банков группировка использовала мобильный Android-троян Hqwar (Agent.BID). С 2016 года — троян Honli, а с февраля 2016 года его модернизированную версию, определяемую антивирусами как Asacub.g. В этом же году злоумышленники попробовали заражать смартфоны с помощью трояна своих «коллег» и предшественников — Cron, давшего название группе. Тогда же на вооружении у TipTop стоял троян CatsElite (MarsElite).

В апреле 2017 года группа вновь вернулась к использованию банкера Hqwar (Agent.BID). Однако параллельно с этим использовался и Lokibot, а также модернизированный старый троян Marcher (Rahunok).

Все мобильные трояны, которые применяли злоумышленники, могли перехватывать и читать SMS, записывать телефонные разговоры, отправлять USSD-запросы, но их главной целью была кража данных банковских карт с помощью фишинговых окон, копирующих окна легальных приложений, или с помощью web-фейков для ввода логинов-паролей учетных данных личных кабинетов от интернет-банкинга популярных банков. Серверы, откуда шло заражение малварью и управление ботнетами в разное время находились в Германии, в США, на Украине.

В ходе проведенных оперативно-розыскных мероприятий сотрудниками полиции было установлено, что к хищению денежных средств у жительниц Чувашской Республики (75 000 рублей) причастен ранее судимый 31-летний житель города Красноярска, переводивший финансовые средства со счетов пользователей на счета и карты злоумышленников.

Молодой человек был задержан, и в результате обыска по месту жительства подозреваемого, были обнаружены и изъяты компьютерная техника, жесткие диски, флеш-накопители, телефоны и SIM-карты. По данным следствия, задержанный исполнял роль заливщика группы TipTop и непосредственно переводил деньги со счетов пользователей̆ на счета и карты злоумышленников.

Следователями отдела МВД России по Канашскому району Республики Чувашия было возбуждено уголовное дело по признакам преступления, предусмотренного статьей 273 Уголовного кодекса Российской Федерации «Создание, использование и распространение вредоносных компьютерных программ». Затем материалы дела были переданы в Канашский районный суд, которым обвиняемый в результате был приговорен к 2 годам лишения свободы условно.

«После ликвидации группы Cron в конце 2016 года, группа, получившая рабочее название TipTop, в которую входил задержанный хакер, являлась одной из самых крупных и опасных в России. С помощью Android-троянов киберпреступники смогли инфицировать более 800 000 смартфонов. Ущерб от их деятельности устанавливается, однако по некоторым оценкам они могли ежедневно похищать от 100 000 рублей до 700 000 рублей. Мы впервые зафиксировали их деятельность с 2015 года. В ходе длительной работы, оперативным службам, которым мы передали наши наработки, удалось установить потерпевших в ряде регионов России», — рассказывает Сергей Лупанин.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии