Кибердетективы из Group-IB рассказали, как четырем хакерам из Челябинской области удалось заразить 340 тыс. смартфонов – вычислить злоумышленников удалось благодаря уникальной технологии Bot-Trek Cyber Intelligence, передает корреспондент Агентства новостей «Доступ» со ссылкой на пресс-службу Group-IB.
Как только эксперты вычислили киберпреступников, они были задержаны сотрудниками Управления «К» МВД РФ совместно с силовиками Челябинской и Свердловской областей. Как ранее сообщало Агентство новостей «Доступ», у задержанных изъяли несколько ноутбуков, 15 сотовых телефонов и большое количество sim-карт. Возбуждено уголовное дело. Выяснилось, что хакеры назвали свою программу «5 рейх» и активно использовали нацистскую символику в ее управлении, поэтому преступная группа получила кодовое название – «Фашисты».
Киберпреступники организовывали вирусные атаки на мобильные устройства клиентов российских банков, работающих на платформе Android. Троянская программа после установки на мобильное устройство запрашивала баланс привязанной к номеру банковской карты, скрывала поступающие SMS-уведомления и переводила деньги с банковского счета на счета злоумышленников. Сумма предотвращенного ущерба составляет более 50 млн рублей.
Расследование кибераферы началось в 2013 году, уже тогда было ясно, что троян сделан иенно для хищений с банковских счетов. Программа эволюционировала и позволяла совершать хищения более эффективно. Одним из первых способов было использование SMS-банкинга (процедура перевода денег при помощи отправки специально сформированного SMS на номер банка).
Следующим шагом стал сбор данных пластиковых карт при помощи фишинговых страниц в интернете. Вредоносная программа показывала поверх окна Google Play свое окно с предложением ввести данные банковской карты, а после введения данные передавались на сервер злоумышленника.
Далее хакеры сделали фишинговые страницы и для некоторых российских и украинских банков – они получали логины и пароли от интернет-банкинга. Когда пользователь запускал банковское приложение, троянская программа подменяла оригинальное окно на фишинговое, где пользователь сам вводил необходимые данные, которые отправлялись на сервер злоумышленника. Обладая логином, паролем, а также доступом ко всем SMS, злоумышленник мог совершать банковские переводы.
Распространяли вредоносную программу через SMS-сообщения, где была ссылка на загрузку вредоносной программы под видом Adobe Flash Player, во время установки которой запрашивались права администратора.