U Rusiji uhapšeni članovi kriminalne grupe koja je širila Android trojanca Cron i Windows malver PonyForx

Sajber hronika, 25.05.2017, 00:30 AM

Ruske vlasti uhapsile su članove kriminalne grupe Cron, koja je prodavala bankarskog trojanca za Android nazvanog Cron i malver koji krade informacije sa Windows računara nazvanog PonyForx.

Hapšenje dvadesetak ljudi u 16 regiona Rusije rezultat je opsežne istrage koja je trajala od novembra prošle do aprila ove godine. Vest o hapšenjima mediji su saznali od ruske policije i ruske firme Group-IB koja je pomagala vlastima u istrazi.

Kriminalna grupa Cron započela je svoje delovanje sredinom 2015. distribucijom bankarskog trojanca Cron preko nezvaničnih prodavnica aplikacija.

Kriminalci su trojanca maskirali u kopije oficijalnih aplikacija banaka, ili u aplikacije kao što su Navitel, Framaroot, Pornhub, Avito i druge. Kada bi korisnici instalirali ove aplikacije na svojim uređajima, malver sakriven u njima je omogućavao kriminalcima krađu lozinki za bankovne račune i kodova za dvofaktornu verifikaciju, presretanjem SMS poruka.

Malver Cron je omogućavao kriminalcima da preuzmu bankovne račune pomoću Android uređaja, i da izvlače novac sa njih u malim transkacijama od 120 dolara u proseku. Grupa je napadala korisnike ruskih banaka. Ovo je privuklo pažnju ruskih vlasti i firme Group-IB, koji su započeli zajedničku istragu.

Najveća greška koju je napravila grupa dogodila se 1. aprila prošle godine kada su kriminalci objavili oglas na jednom ruskom forumu, reklamirajući malver Cron. To je dovelo istraživače iz Group-IB do odgovornih za talas infekcija malverom Cron. Oglas je objavljen sa ciljem da se originalna postava grupe proširi za još jednog saradnika.

Dva meseca kasnije, posle uspeha koji su postigli u svojoj zemlji, ruski kriminalci su odlučili da svoje poslovanje prošire i izvan granica Rusije. Da bi to uradili, grupa je rentirala pristup jednom moćnijem bankarskom trojancu - Tiny.z. Cena mesečne rente za pristup iznosila je 2000 dolara. Trojanac Tiny.z može da napada korisnike banaka u SAD, Velikoj Britaniji, Francuskoj, Turskoj, Singapuru, Australiji i drugim državama.

U septembru prošle godine, francuski istraživač Kafeine primetio je još jedan oglas grupe Cron, ovog puta za malver PonyForx, trojanca koji krade informacije sa Windows računara, a koji je baziran na kodu popularnijeg malvera Pony. PonyForx je naziv pod kojim su istraživači pratili malver koji je u pomenutom oglasu reklamiran pod imenom "Fox stealer v1.0".

Međutim, grupa nije imala vremena da proširi novi malver jer je već u novembru prošle godine ruska policija, zajedno sa Group-IB, ušla u trag članovima grupe posle čega su usledila hapšenja. Poslednje hapšenje se dogodilo u aprilu ove godine, a među uhapšenima je i vođa kriminalne grupe.

Rusko Ministarstvo unutrašnjih poslova izdalo je saopštenje za medije u kome se kaže da je grupa uspela da ukrade više od 50 miliona rubalja, odnosno 900000 dolara, i to samo u Rusiji, i samo pomoću trojanca Cron.

Group-IB je saopštio da je grupa Cron samo u Rusiji inficirala više od milion Android uređaja. Dnevno je bilo više od 3500 novih žrtava malvera, a grupa je koristila više od 6000 bankovnih računa za pranje novca.

U vreme hapšenja, grupa se pripremala da pokrene kampanju sa trojancem Tiny.z koji je trebalo da napadne korisnike francuskih banaka.