800 000 россиян стали жертвами банковского Android-ботнета

800 000 россиян стали жертвами банковского Android-ботнета

Специалистам антивирусной компании Avast удалось выйти на операции банковского Android-ботнета, атаковавшего российских пользователей. Эксперты считают, что получивший имя Geost ботнет действует с 2016 года, за это время он успел заразить более 800 тысяч устройств на Android.

Такая масштабная кибероперация позволяла преступникам контролировать несколько миллиардов рублей. Выйти на незаконную деятельность исследователям помогла ошибка OpSec.

Киберпреступники допустили оплошность — доверились вредоносной прокси-сети, созданной благодаря вредоносной программе HtBot. Этот вредонос даёт возможность арендовать прокси-сервис, позволяющий анонимно общаться в Сети.

Проанализировав сетевую активность HtBot, антивирусные специалисты неожиданно для себя раскрыли крупную вредоносную кампанию, в ходе которой пострадали 800 тыс. Android-устройств.

Что подвело операторов ботнета — они неудачно выбрали платформы анонимизации, с помощью которых пытались скрыть свои следы. В итоге преступники не смогли корректно зашифровать свои сообщения, а исследователи получили доступ ко всей внутренней работе злоумышленников.

Помимо общей информации, касающейся киберопераций (обход антивирусных программ, заражение устройств), специалисты нашли и личные переписки киберпреступников. Один из интересных моментов таких переписок — намерение одного из участников группировки покинуть её.

Ему ответили, что «не каждый день группа получает 100 тысяч за продвижение», кроме того, «раз уж начинали вместе, заканчивать работу нужно тоже вместе».

Команда Avast также рассказала и про сам ботнет. Geost на деле является сложной инфраструктурой, состоящей из заражённых Android-устройств. Установка вредоносной составляющей на смартфоны россиян происходит благодаря фейковым приложениям.

Обычно такие программы маскируются под банковские приложения или социальные сети. После установки таких программ операторы могут удалённо управлять атакованным устройством.

Особый интерес для злоумышленников в этом случае представляли SMS-сообщения жертв — благодаря им они вычисляли, у кого самый большой баланс на счёте. Эту информацию обрабатывал командный C&С-сервер.

Помимо этого, киберпреступники устанавливали на телефоны граждан банковский троян, главными целями которого стали пять банков, расположенных преимущественно в России.

С подобным анализом данной кибероперации можно ознакомиться в исследовании (PDF) Avast.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Россиянин, торговавший украденными данными карт, признан виновным в США

29-летний россиянин Алексей Бурков признан виновным в создании и администрировании веб-сайта Cardplanet, благодаря которому злоумышленники могли совершать мошеннические действия с банковскими картами пользователей.

По сути, Бурков занимался обслуживанием незаконной онлайн-площадки, с помощью которой мошенники смогли организовать операции кардинга, которые принесли им в общей сумме $20 миллионов.

В ноябре по прозрению в мошеннической деятельности Буркова экстрадировали в США. Американский суд, помимо участия в работе Cardplanet, вменил россиянину управление другим закрытым форумом для киберпреступников. Чтобы попасть на эту площадку, злоумышленники должны были иметь хорошую репутацию в криминальной среде.

На Cardplanet, в свою очередь, продавались данные украденных банковских карт. Цена варьировалась от 3 до 60 долларов.

Правоохранители вышли на Буркова в 2015 году, тогда же он был арестован в Израиле. После экстрадиции в США федеральный суд Александрии обвинил россиянина в мошенничестве и незаконном отмывании денег.

Министерство юстиции США опубликовало пресс-релиз, посвящённый делу Буркова. В нём отмечается, что приговор должен быть оглашён 8 мая 2020 года, обвиняемому грозит до 15 лет лишения свободы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru