' style='fill:%23c4c4c4;fill-opacity:1'%3E%3Cpath d='M93.28-57.4h2.52l-6.33 11.74h-2.6l6.41-11.75zM98.5-57.4h2.52L94.7-45.67h-2.6l6.4-11.75zM103.78-57.4h2.52l-6.33 11.74h-2.6l6.4-11.75z'/%3E%3C/a%3E%3C/svg%3E)
20 хакеров украли у россиян 50 млн рублей: как они это сделали и кто пострадал?
В понедельник, 22 мая, МВД сообщило, что в Иванове задержали группу из двадцати хакеров по подозрению в хищении 50 миллионов рублей с банковских счетов россиян. Четверо были арестованы по решению суда, остальные находятся под подпиской о невыезде. Хакеры похищали деньги через зараженные мобильные телефоны, большинство из них — Android. Когда вирус попадал на телефон, он передавал злоумышленникам данные с банковских приложений владельца.
Как заражались телефоны и почему именно Android
Группировка использовала вредоносную программу Crone и называла себя по ее имени. Об этом сообщили в компании по предотвращению и расследованию киберпреступлений Group-IB. Ранее хакеры уже были судимы за разные преступления. Их лидером был 30-летний житель Иваново. Против них возбудили дело по статье “«мошенничество в сфере компьютерной информации».
Хакеры действовали двумя способами, первый — через SMS-рассылку. Владельцу телефона приходило сообщение, что он опубликовал объявление или что его фотографии размещены на определенном сайте, и предложение посмотреть это по ссылке. После перехода по ней, на телефон попадал вирус. Второй способ — если владелец телефона скачал фейковое приложение, замаскированное под официальное. Хакеры подделывали в том числе приложения для навигаторов Navitel, порноресурс Pornhub, сервис для покупок Avito и другие.
После того, как вирус попадал на телефон, хакеры получали возможность делать переводы с установленных там банковских приложений на свои счета. Вирус также управлял SMS-сообщениями — посылал их на любые указанные преступниками телефонные номера и пересылал туда любые входящие сообщения. Программа также скрывала от пользователя SMS-уведомлений от банка. Как рассказали Дождю в Group-IB, деньги списывались со всех банков, в том числе крупнейших, которые предлагают клиентам услуги SMS-банкинга.
В Group-IB полагают, что хакеры выбрали телефоны на Android из-за их распространенности — 85% телефонов в мире работает на этой платформе, а также из-за более открытой по сравнению с iOS операционной системой.
Масштабы хищений
Ежедневно вирус помогал красть деньги у 50-60 клиентов российских банков и заражать 3,5 тысячи телефонов. С каждого крали в среднем 8 тысяч рублей. В МВД подозревают группу в хищении 50 миллионов рублей с миллиона телефонов.
Впрочем, свою деятельность они начали раньше: киберразведка зафиксировала распространение Cron группировкой еще весной 2015 года. Большую часть мошенников — 16 человек — задержали в шести разных регионах 22 ноября 2016 года.
Чем еще занимались хакеры
В 2016 году у них были планы экспансии за рубеж. Хакеры купили мобильный троян Tiny.z, который позволил бы им заражать иностранные телефоны. Программа адаптирована для банков Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и других стран. После попадания на телефон он находил банковское приложение и выводил окно для ввода персональных данных, копируя интерфейс приложения. Хакеры собирались совершать атаки на клиентов банков Франции — Credit Agricole, Assuarance Banque, Banque Populaire и других. Но они не успели этого сделать из-за задержания.
Как защититься
В Group-IB утверждают, что пользователи Android более уязвимы для хакерских атак. Защититься можно, не открывая с телефона никаких присланных через почту ссылок и скачивая приложения только с официального сайта или магазина. Всем владельцам телефонов киберспециалисты советуют обновлять прошивку, установить туда антивирус и звонить в банк в случае подозрительной активности.
Фото: Group-IB
