Российские киберпреступники использовали вредоносное ПО, заложенное на мобильные устройства Android, для кражи у клиентов отечественных банков и планировали нацелиться на европейских кредиторов до их ареста.
Их кампания собрала относительно небольшую по меркам киберпреступности сумму — более 50 миллионов рублей (1,2 миллиона долларов), но они также получили более сложные вредоносные программы за скромную ежемесячную плату, чтобы преследовать клиентов банков во Франции и, возможно, в ряде других западных стран.
Отношение России к киберпреступности находится под пристальным вниманием после того, как представители американской разведки заявили, что российские хакеры пытались помочь республиканцу Дональду Трампу выиграть президентство в США, взломав серверы Демократической партии.
Кремль неоднократно опровергал это утверждение.
Члены банды обманом заставляли клиентов российских банков скачивать вредоносное ПО через поддельные мобильные банковские приложения, а также через порнографию и программы электронной коммерции, говорится в отчете, составленном фирмой по кибербезопасности Group-IB, которая расследовала эту атаку совместно с МВД России.
Преступники — 16 подозреваемых были арестованы российскими правоохранительными органами в ноябре прошлого года — заразили более миллиона смартфонов в России, в среднем компрометируя 3500 устройств в день, сообщает Group-IB.
Хакеры нацелились на клиентов государственного кредитора Сбербанка, а также похитили деньги со счетов Альфа-Банка и компании онлайн-платежей Qiwi, воспользовавшись слабостями в услугах передачи SMS-сообщений компаний, сообщили два человека, непосредственно знакомые с этим делом.
Хотя до ареста они работали только в России, у них были планы нацелиться на крупные европейские банки, включая французских кредиторов Credit Agricole, BNP Paribas и Societe Generale, говорится в сообщении Group-IB.
Пресс-секретарь BNP Paribas заявила, что банк не может подтвердить эту информацию, но сказал, что у него «есть значительный набор мер, направленных на ежедневную борьбу с кибератаками». Societe General и Credit Agricole отказались от комментариев.
Банда, получившая название «Cron» в честь вредоносного ПО, которое она использовала, не крала никаких средств у клиентов трех французских банков. Однако он воспользовался банковским сервисом в России, который позволяет пользователям переводить небольшие суммы на другие счета, отправляя SMS.
Заразив телефоны пользователей, банда отправляла с этих устройств SMS-сообщения с инструкциями банкам переводить деньги на собственные счета хакеров.
Полученные результаты иллюстрируют опасность использования SMS для мобильного банкинга, метода, предпочитаемого в развивающихся странах с менее развитой интернет-инфраструктурой, сказал Лукас Стефанко, исследователь вредоносных программ в фирме ESET по кибербезопасности в Словакии.
«Он становится популярным среди развивающихся стран или в сельской местности, где доступ к обычным банковским услугам затруднен для людей», — сказал он.
«Для них это быстро, легко, и им не нужно посещать банк… Но безопасность всегда должна перевешивать удобство потребителя.»
Кибер-преступники
Министерство внутренних дел России заявило, что было арестовано несколько человек, включая того, кого оно назвало главарем банды. Это был 30-летний мужчина, живший в Иванове, промышленном городе в 300 км к северо-востоку от Москвы, откуда он командовал командой из 20 человек в шести разных регионах.
Четыре человека остаются под стражей, а остальные находятся под домашним арестом, говорится в заявлении министерства.
«В ходе 20 обысков в шести регионах полицейские изъяли компьютеры, сотни банковских карт и СИМ-карт, зарегистрированных под вымышленными именами», — говорится в сообщении.
Group-IB заявила, что существование вредоносного ПО Cron было впервые обнаружено в середине 2015 года, и к моменту ареста хакеры использовали его менее года.
Основные члены группы были задержаны 22 ноября прошлого года в Иваново. На фотографиях операции, опубликованных Group-IB, один подозреваемый лежал лицом вниз в снегу, а полицейские в лыжных масках надевали на него наручники.
Хакеры «Крон» были арестованы до того, как они смогли организовать атаки за пределами России, но планы сделать это находились на продвинутой стадии, заявили следователи.
Group-IB заявила в июне 2016 года, что арендовала вредоносную программу, предназначенную для атаки на мобильные банковские системы, под названием «Tiny.z» за 2000 долларов США в месяц. Создатели вредоносного ПО «Tiny.z» адаптировали его для атаки на банки Великобритании, Германии, Франции, США и Турции, а также других стран.
Банда «Крон» разработала программное обеспечение, предназначенное для атаки на кредиторов, включая три французские группы, говорится в сообщении, добавив, что она уведомила эти и другие европейские банки, подвергающиеся риску.
Пресс-секретарь Сбербанка заявила, что у нее нет никакой информации об этой группе. Однако она сказала: «Против Сбербанка работают несколько групп киберпреступников. Количество групп и методы, которые они используют для нападения на нас, постоянно меняются.»
«Неясно, о какой именно группе идет речь, потому что мошенническая схема с использованием Android-вирусов широко распространена в России, и Сбербанк эффективно борется с ней в течение длительного периода времени.»
В Альфа-банке от комментариев отказались. Qiwi не ответила на многочисленные запросы о комментариях.
Google, производитель Android, в последние годы предпринял шаги для защиты пользователей от загрузки вредоносных программ и блокировки приложений, которые являются небезопасными, выдают себя за законные компании или занимаются обманчивым поведением.
Компания отказалась комментировать эту историю, заявив, что не видела отчета Group-IB.
Поддельные мобильные приложения
Российские власти, бомбардируемые обвинениями в хакерских атаках, спонсируемых государством, стремятся показать, что Россия тоже является частой жертвой киберпреступности и что они упорно работают над борьбой с ней.
Министерство внутренних дел и МЧС, а также Сбербанк заявили, что они стали мишенью глобальной кибератаки в начале этого месяца.
После обвинений о взломе выборов в США появились новые доказательства того, что некоторые западные чиновники говорят о симбиотических отношениях между киберпреступниками и российскими властями, когда хакерам разрешено безнаказанно атаковать иностранные цели в обмен на сотрудничество со спецслужбами, в то время как Москва подавляет тех, кто действует дома.
Успеху банды Cron способствовала популярность SMS-банкинга в России, считает руководитель отдела расследований Group-IB Дмитрий Волков.
Банда получила свои вредоносные программы на устройства жертв, установив приложения, предназначенные для имитации подлинных приложений банков. Когда пользователи искали в Интернете, результаты предлагали поддельное приложение, которое они затем загружали. Хакеры также вставляли вредоносное ПО в поддельные мобильные приложения для известных порнографических сайтов.
После заражения телефона клиента хакеры смогли отправить в банк текстовое сообщение, инициирующее перевод до 120 долларов США на один из 6000 банковских счетов, созданных для приема мошеннических платежей.
Затем вредоносная программа перехватит код подтверждения, отправленный банком, и заблокирует получение жертвой сообщения с уведомлением о транзакции.
«Успех Крона был обусловлен двумя основными факторами», — сказал Волков. «Во-первых, масштабное использование партнерских программ для распространения вредоносного ПО различными способами. Во-вторых, автоматизация многих (мобильных) функций, которая позволяла им осуществлять кражи без непосредственного участия.»
