Спецпроекты

Арестована банда хакеров, похитившая более 20 миллионов с банковских карт россиян

Безопасность ИТ в банках

Сотрудники МВД и представители компании BI.Zone, которая работает в сфере кибербезопасности, поймали банду хакеров, похитившую за пять лет более 20 млн руб. с банковских карт россиян с помощью вредоносной программы Faketoken. Организатор дал признательные показания и находится под стражей.

Похищение денег с банковских карт

Полицейские рассказали о задержании банды хакеров, которые за пять лет похитили более 20 млн руб. у держателей карт российских банков с помощью вредоносного программного обеспечения Faketoken. Об этом РИА «Новости» сообщили представители компании BI.Zone, которая работает в сфере кибербезопасности и оказала правоохранителям помощь в расследовании дела.

Сотрудники управления «К» Бюро специальных технических мероприятий (БСТМ) МВД по Чувашской республике при содействии экспертов BI.Zone задержали организатора и двух участников преступной группы в сентябре 2020 г. Группировка действовала с 2015 г.

БСТМ — подразделение МВД, образованное в 1992 г. Одно из направлений его деятельности — борьба с преступлениями в сфере компьютерных технологий. Региональные подразделения БСТМ действуют во всех субъектах России. Управление «К» МВД осуществляет выявление, предупреждение, пресечение и раскрытие преступлений в сфере компьютерной информации, преступлений, совершаемых с помощью интернета, а также связанных с незаконным оборотом специальных технических средств для негласного получения информации.

В ходе допросов хакеры признались, что регулярно с 2015 г. крали деньги с карт. С помощью различных сервисов они обналичивали похищенное и конвертировали в криптовалюту.

tyurma600.jpg
Полиция поймала банду хакеров, похитившую у россиян 20 миллионов с банковских карт

В сообщении МВД говорится, что во время обыска по адресам проживания одного из мошенников были обнаружены и изъяты сетевые устройства, устройства связи и компьютерная техника, содержащая явные следы разработки и распространения вредоносного ПО Trojan-Banker.AndroidOS.Faketoken. Также сотрудники МВД обнаружили сим-карты различных операторов связи и электронную переписку в Telegram, которая подтверждает причастность задержанного к противоправной деятельности.

Лидеру избрана мера пресечения в виде заключения под стражу, остальные находятся под подпиской о невыезде и надлежащем поведении. Фигуранты дали признательные показания, говорится в сообщении полиции.

Как работало вредоносное ПО

Как сообщает МВД, программа заражала устройства, перехватывала SMS-сообщения от банка и передавала их на сервер преступников, а также собирала данные банковских карт. С помощью этой информации мошенники переводили деньги c мобильных и банковских счетов жертв.

Вредоносная программа семейства Trojan-Banker.AndroidOS.Faketoken обычно похищает одноразовый банковский пароль пользователя и работает вместе с троянскими программами. Во время сеанса работы с онлайн-банком трояны применяют технику внедрения кода по вебу. Такие программы внедряют в открытую в веб-браузере страницу онлайн-банка требование скачать Android-приложение, ложно уведомляя пользователя, что это приложение необходимо для безопасности банковских транзакций, и размещают на странице ссылку на троянскую программу Faketoken.

Когда загруженная вредоносная программа запускается на смартфоне пользователя, злоумышленник с ее помощью получает доступ к банковскому счету пользователя. Программа Faketoken позволяет злоумышленнику получить одноразовый код mTAN (mobileTransactionAuthenticationNumber) и перевести деньги пользователя на свои счета.

РИА «Новости» пишет, что за последние пять месяцев 2020 г. хакерская группировка получила доступ более чем к 5 тыс. телефонов и данным как минимум 2,5 тыс. банковских карт.

Трояны становятся все более изощренными

Впервые вредоносная программа семейства Faketoken была обнаружена в конце марта 2013 г. В 2015 г., то есть примерно в то время, когда хакеры, которых сейчас поймала полиция, начали свою бурную деятельность, вышел отчет «Лаборатории Касперского». В частности, он указывал на то, что активность хакеров, посягавших на деньги пользователей Android выросла в 2015 г. в три раза по сравнению с 2014 г. При этом активнее всего банковские и SMS-троянцы действовали именно в России. С 21 июля 2014 г. по 24 июля 2015 г. в рейтинге наиболее уязвимых стран из 10, проанализированных в отчете, 86,6 % атакованных пользователей были именно из России, которая лидировала тогда с огромным отрывом. В Казахстане, который был на втором месте рейтинга, число атакованных Faketoken пользователей составляло лишь 3,82%.

Эксперты «Лаборатории Касперского» выяснили тогда, что абсолютное большинство (98%) банковских зловредов под Android относятся к одному из трех семейств вредоносного ПО: Faketoken, Svpeng или Marcher. Причем Троянцы Svpeng и Marcher занимаются тем, что крадут данные доступа к системам онлайн-банкинга: они заменяют поля для ввода аутентификационной информации в мобильных банковских приложениях или сами приложения на фишинговые. В свою очередь, зловреды из семейства Faketoken перехватывают одноразовые коды, отправляемые пользователю банком для подтверждения транзакции, и передают их злоумышленникам.

В 2018 г., согласно другому отчету «Лаборатории Касперского», мобильные вредоносы начали активно использовать схемы монетизации с использованием платных SMS и WAP-биллинга (мобильного платежа без регистрации). Эти трояны нажимали на страницы с платными услугами, и как только подписка активировалась, деньги со счета жертвы поступали киберпреступникам. Некоторые из таких вредоносов, обнаруженные в 2017 г., также включали в себя криптовалютные модули.