Russiske nettkriminelle som brukes malware plantet på Android mobile enheter for å stjele fra egen bank for kunder og planla å målrette Europeiske långivere før deres arrestasjon, etterforskere og kilder med kjennskap til saken fortalte Reuters.
Deres kampanje reist en relativt liten sum av cyber-kriminalitet-standarder – mer enn RUB 50 millioner kroner ($892,000 eller rundt Rs. 5.7 crores) – men de hadde også fått mer sofistikert og ondsinnet programvare for en beskjeden månedlig avgift for å gå etter kunder av banker i Frankrike og muligens en rekke andre vestlige land.
Russlands forhold til cyber-kriminalitet er under intens granskning etter OSS intelligens tjenestemenn hevdet at russiske hackere hadde prøvd å hjelpe Republikanske Donald Trump vinne OSS presidentskap ved hacking Demokratiske Partiet servere.
Kreml har gjentatte ganger benektet påstanden.
Gjengen medlemmer lurt den russiske bankenes kunder til å laste ned skadelig programvare via falske mobile banktjenester-programmer, så vel som via pornografi og e-handel programmer, ifølge en rapport utarbeidet av cybersecurity firmaet Gruppe-IB som undersøkte angrep med det russiske innenriksdepartementet.
De kriminelle – 16 mistenkte ble arrestert av russiske rettshåndhevende myndigheter i November i fjor – infisert mer enn en millioner smarttelefoner i Russland, i gjennomsnitt går på bekostning 3,500 enheter om dagen, Gruppe-IB sa.
Hackere målrettet kunder av staten som långiver Sberbank, og også stjal penger fra kontoene på Alfa Bank og elektroniske betalinger selskapet Qiwi, utnytte svakheter i selskapenes SMS transfer tjenester, sa to personer med direkte kjennskap til saken.
Selv om de opererer bare i Russland før deres arrestasjon, de hadde utarbeidet planer for å målrette store Europeiske banker, inkludert fransk långivere Credit Agricole, BNP Paribas og Societe General, Gruppe-IB sa.
En BNP Paribas talskvinne sa at banken kunne ikke bekrefte disse opplysningene, men la til at det “har en betydelig sett av tiltak i stedet tar sikte på å bekjempe cyber-angrep på en daglig basis”. Societe General og Credit Agricole avvist kommentar.
Gjengen, som ble kalt “Cron” etter skadelig programvare som brukes, ikke stjele penger fra kundenes av de tre franske banker. Men, det utnyttet banken service i Russland som tillater brukere å overføre små summer til andre kontoer ved å sende en SMS-melding.
Etter å ha infisert brukernes telefoner, gjengen sendte SMS-meldinger fra de enhetene som ber bankene å overføre penger til hackere’ egne kontoer.
Funnene illustrerer farene ved bruk av SMS meldinger for mobile banktjenester, en metode som ble favorisert i fremvoksende land med mindre avanserte internett-infrastruktur, sa Lukas Stefanko, malware forsker på cyber-sikkerhet fast ESET i Slovakia.
“Det er blitt populært blant utviklingsland eller på landsbygda der tilgang til tradisjonelle banktjenester er vanskelig for folk,” sa han. “For dem det er raskt, enkelt og de trenger ikke å besøke en bank… Men sikkerhet har alltid å oppveie forbruker skyld.”
Cyber kriminelle
Det russiske innenriksdepartementet sa en rekke personer hadde blitt arrestert, inkludert hva det er beskrevet som den gjengen som leder. Dette ble en 30-år gammel mann som bodde i Ivanovo, en industriby 300 km (185 km) nordøst for Moskva, hvor han hadde sett et team på 20 personer over seks ulike regioner.
Fire personer er fortsatt i varetekt, mens andre er under husarrest, departementet sa i en uttalelse.
“I løpet av 20-søk på seks regioner, politiet beslaglagt datamaskiner, hundrevis av bank-kort, og SIM-kort som er registrert under falske navn,” er det sagt.
Gruppe-IB sa eksistensen av Cron-malware ble først oppdaget i midten av 2015, og etter den tid av arrestasjoner hackere hadde vært å bruke det for under et år.
The core medlemmer av gruppen ble anholdt på November 22 siste året i Ivanovo. Bilder av drift utgitt av Gruppe-IB viste en mistanke ansiktet ned i snøen som politiet i finlandshetter håndjern på ham.
“Cron” hackere ble arrestert før de kunne montere angrep utenfor Russland, men har planer om å gjøre som var på et avansert stadium, sa undersøkere.
Gruppe-IB sa at i juni 2016 de hadde leid et stykke malware er designet for å angripe mobile banktjenester systemer, som kalles “Lille.z” for $2000 i måneden. Skaperne av “Tiny.z” malware hadde tilpasset den til å angripe banker i Storbritannia, Tyskland, Frankrike, Usa og Tyrkia, blant andre land.
“Cron” gjengen utviklet programvare designet for å angripe långivere, inkludert de tre franske grupper, er det sagt, og legger til at det hadde varslet om disse og andre Europeiske bankene i fare.
En talskvinne for Sberbank sa hun hadde ingen informasjon om konsernet er involvert. Men, hun sa: “for Flere grupper av cyber kriminelle arbeider mot Sberbank. Antall grupper og metodene de bruker for å angripe oss er i stadig forandring.”
“Det er ikke klart hvilken gruppe som blir referert til her fordi de falske ordningen som involverer Android OS (operativsystem) virus er utbredt i Russland og Sberbank har effektivt combated det for en omfattende periode.”
Alfa Bank ikke gi en kommentar. Qiwi ikke svare til flere forespørsler om kommentar.
Google, skaperen av Android, har tatt grep de siste årene for å beskytte brukere fra å laste ned ondsinnet kode, og ved å blokkere programmer som er usikre, utgi deg for å være legitime selskaper eller ta del i villedende atferd.
Selskapet har avslått å kommentere for denne historien, sa de ikke hadde sett Konsernet-IB-rapporten.
Falske mobile apps
Den russiske myndigheter, bombardert med påstander om statsstøttet hacking, er opptatt av å vise at Russland også er en hyppig offer for cyber-kriminalitet, og at de jobber hardt for å bekjempe det. Interiør og kriser departementer, samt Sberbank, sa de var målrettet i en global cyber-angrep tidligere denne måneden.
Putin Sier at Russland Ikke er Involvert i WannaCry Ransomware Cyber-Angrep, Skylder OSS
Siden påstandene om den AMERIKANSKE valgkampen hacking, ytterligere bevis har dukket opp av det enkelte Vestlige tjenestemenn sier er et symbiotisk forhold mellom cyber kriminelle og russiske myndigheter, med hackere lov til å angripe utenlandske mål med straffefrihet i retur for å samarbeide med sikkerhet tjenester Moskva klemmer ned på de opererer hjemme.
Suksessen til Cron-gjengen var tilrettelagt av populariteten til SMS-bank tjenester i Russland, sa Dmitrij Volkov, leder av undersøkelser på Gruppe-IB.
Gjengen fikk sin malware på å ofre ” enheter ved å sette opp programmer som er utformet for å etterligne bankenes ekte apps. Når brukere søkte på nettet, og resultatene ville foreslå den falske app, som de ville, og last deretter ned. Hackere også satt inn malware inn falske mobile apps for kjente nettsteder med pornografi.
Etter å infisere en brukers telefonen, hackere var i stand til å sende en tekstmelding til den banken du starter en overføring av opp til $120 til en av 6,000 bank-kontoer satt opp til å motta de falske betalinger.
Malware ville da opp en bekreftelse kode som er sendt av banken og sperre offeret fra å motta en melding som varsler dem om transaksjonen.
“Cron-suksessen var på grunn av to hovedfaktorer,” Volkov sa. “Første storskala bruk av partner-programmer til å distribuere malware på forskjellige måter. For det andre, automatisering av mange (mobil) funksjoner som tillot dem å utføre tyverier uten direkte involvering.”
© Thomson Reuters 2017