Сегодня МВД РФ отчиталась о задержании киберпреступной группировки, заразившей миллион смартфонов и укравшей у пользователей более 50 миллионов рублей. Задержания прошли в 6 регионах России. Это одно из крупнейших подобных дел в России. Мы решили разобраться, как действовали преступники в области высоких технологий.
Начало деятельности
Впервые правоохранители при участии компании по расследованию киберпреступлений Group-IB зафиксировали активность новой преступной группы Cron на хакерских форумах в марте 2015 года. Группа начала свою деятельность на фоне распространения мобильного банкинга в России (по данным ЦБ, пользовалось 20% взрослого населения России), а также растущей популярности троянов для смартфонов — ущерб от них уже тогда составил более 61 млн рублей в год.
Преступники работали с операционной системой Android, которая, в отличие от iOS, распространена куда шире, а также является по сути открытой. И, что самое интересное, воры обнаружили, что вирусы можно даже не писать самостоятельно — готовые вредоносные программы можно купить или взять в аренду на хакерских форумах.
Как работал Cron
Телефоны заражали двумя основными способами: либо через sms-ссылку, после перехода по которой пользователю загружался троян, который он должен сам установить, либо через фейковые приложения: Navitel; Framaroot; Pornhub; Avito. То есть пользователь думал, что он качает искомое приложение, а сам скачивал троян.
После установки вирус попадал в автозагрузку и сам, втайне от пользователя, занимался пересылкой сообщений на номера и сервера хакеров, а также скрывал от пользователя SMS-уведомления от банка.
Интерфейс трояна Tiny.z
Попадая на телефон жертвы, троян автоматически переводил деньги с банковского счета жертвы на счета хакеров — их было у группы более 6000. Каждый день хакеры пытались ограбить 50-60 клиентов разных банков, похищая в среднем около 8000 рублей. Общий ущерб от действий Cron оценивается, как минимум, в 50 миллионов рублей.
Итоги деятельности
Таким образом, в общей сложности к 2016 году Cron удалось заразить более 1 миллиона мобильных устройств, при том, что ежедневно заражались 3500 смартфонов. К тому времени в группу, кроме организаторов, входили партнеры-заливщики, крипторы, трафферы и обнальщики.
Преступная группа работала не только по России. В июне 2016 года они за 2000 долларов в месяц арендовали троян Tiny.z, пригодный для работы с иностранными банками. В качестве основной цели группировка Cron выбрала банки Франции, для которых они разработали специальные инжекты.
Арест
В ноябре 2016 года правоохранители смогли установить 20 членов группы, собрать цифровые доказательства совершенных преступлений. 22 ноября 2016 года, в 6 регионах России была проведена масштабная операция: задержаны 16 участников Cron. Лидером группы оказался 30-летний житель Иваново, последний активный участник группы был задержан в начале апреля в Санкт-Петербурге. После этого МВД сообщило о полном устранении группы, сообщает ТАСС.
Для того, чтобы не поймать вирус себе насмартфон, достаточно не скачивать неизвестные программы
Григорий Матюхин © Ссылка на источник
Расскажи друзьям, как хакеры украли 50 миллионов через смартфоны — используй кнопки ниже