Спецпроекты

Безопасность Пользователю Стратегия безопасности

Group-IB: уголовное дело участника крупной хакерской группы TipTop завершено приговором

В Чувашии вынесен приговор в отношении участника хакерской группы, в течение нескольких лет атаковавшей клиентов крупнейших российских банков. Группа, получившая рабочее название TipTop, совершала кражи денежных средств с банковских карт граждан с использованием вредоносной программы. Участник группы был задержан в результате проведенной спецоперации отдела «К» МВД по Чувашской Республике совместно с Управлением «К» МВД России при содействии экспертов Group-IB. Видео с задержания доступно на Youtube-канале Group-IB.

Распространение вредоносного программного обеспечения происходило путем его маскировки под популярные приложения для мобильных устройств. После скачивания приложения на смартфоны пострадавших автоматически загружалось вредоносное ПО, предоставлявшее преступникам доступ к системе мобильного банкинга.

«Данная группа получила рабочее название TipTop. Ее главной целью были клиенты крупных российских банков – пользователи смартфонов на ОС Android. Для заражения телефонов злоумышленники маскировали вредоносные программы под мобильные приложения известных банков из ТОП-10, а также под мессенджер Viber, магазин приложений Google Play или графические приложения компании Adobe. Ссылки на них киберпреступники размещали на собственных ресурсах или взломанных легитимных сайтах. Чтобы увеличить количество жертв, злоумышленники выкупали рекламу в поисковиках по запросу «мобильный банк» и размещали там ссылки на свои ресурсы», – отметил Сергей Лупанин, руководитель отдела расследований Group-IB.

После того как пользователь пытался скачать приложение, на его смартфон устанавливался банковский Android-троян Hqwar (также известный как Agent.BID). Однако группа пробовала разные инструменты и схемы вывода денежных средств, что затрудняло ее атрибуцию с конкретной атакой. В 2015 г. для заражения клиентов российских банков хакеры использовали мобильный Android-троян Hqwar (Agent.BID). С 2016 г. – троян Honli, а с февраля 2016 г. его модернизированную версию, определяемую антивирусами как Asacub.g. В этом же году они пробуют заражать смартфоны с помощью трояна своих предшественников – Cron, давшего название группе. Тогда же на вооружении у TipTop стоял троян CatsElite (MarsElite). В апреле 2017 г. они вновь возвращаются к использованию мобильного банкера Hqwar (Agent.BID). Однако параллельно с ним группа использовала Lokibot, а также модернизированный старый троян Marcher (Rahunok). Все мобильные трояны, которые использовали злоумышленники могли перехватывать и читать СМС, записывать телефонные разговоры, отправлять USSD-запросы, но их главной целью была кража данных банковских карт с помощью фишинговых окон, копирующих окна легальных приложений, или с помощью web-фейков для ввода логинов-паролей учетных данных личных кабинетов от интернет-банкинга популярных банков. Серверы, откуда шло заражение вредоносными программами и управление бот-сетями в разное время находились в Германии, в США, на Украине.

В ходе проведенных оперативно-розыскных мероприятий сотрудниками полиции было установлено, что к хищению денежных средств у жительниц Чувашской Республики (75 000 рублей) причастен ранее судимый 31-летний житель г. Красноярска, переводивший финансовые средства со счетов пользователей на счета и карты злоумышленников.

Молодой человек был задержан. В результате обыска, проведенного полицейскими по месту жительства подозреваемого, обнаружены и изъяты компьютерная техника, жесткие диски, флэш-накопители, телефоны и SIM-карты. По данным следствия, задержанный исполнял роль заливщика группы TipTop и непосредственно переводил деньги со счетов пользователей на счета и карты злоумышленников.

Следователями отдела МВД России по Канашскому району Республики Чувашия было возбуждено уголовное дело по признакам преступления, предусмотренного статьей 273 Уголовного кодекса Российской Федерации «Создание, использование и распространение вредоносных компьютерных программ». Затем материалы дела были переданы в Канашский районный суд, которым обвиняемый в результате был приговорен к двум годам лишения свободы условно.

«После ликвидации группы Cron в конце 2016 г., группа, получившая рабочее название TipTop, в которую входил задержанный хакер, являлась одной из самых крупных и опасных в России. С помощью Android-троянов киберпреступники смогли инфицировать более 800 тыс. смартфонов. Ущерб от их деятельности устанавливается, однако по некоторым оценкам они могли ежедневно похищать от 100 тыс. руб. до 700 тыс. руб. Мы впервые зафиксировали их деятельность в 2015 г. В ходе длительной работы, оперативным службам, которым мы передали наши наработки, удалось установить потерпевших в ряде регионов России», — сказал Сергей Лупанин.

Короткая ссылка