Group-IB: уголовное дело участника крупной хакерской группы TipTop завершено приговором

В Чувашии вынесен приговор в отношении участника хакерской группы, в течение нескольких лет атаковавшей клиентов крупнейших российских банков. Группа, получившая рабочее название TipTop, совершала кражи денежных средств с банковских карт граждан с использованием вредоносной программы. Участник группы был задержан в результате проведенной спецоперации отдела «К» МВД по Чувашской Республике совместно с Управлением «К» МВД России при содействии экспертов Group-IB.

Видео с задержания. Youtube-канал Group-IB

Распространение вредоносного программного обеспечения происходило путем его маскировки под популярные приложения для мобильных устройств. После скачивания приложения на смартфоны пострадавших автоматически загружалось вредоносное ПО, предоставлявшее преступникам доступ к системе мобильного банкинга.

Данная группа получила рабочее название TipTop. Ее главной целью были клиенты крупных российских банков пользователи смартфонов на ОС Android. Для заражения телефонов злоумышленники маскировали вредоносные программы под мобильные приложения известных банков из ТОП-10, а также под мессенджер Viber, магазин приложений Google Play или графические приложения компании Adobe. Ссылки на них киберпреступники размещали на собственных ресурсах или взломанных легитимных сайтах. Чтобы увеличить количество жертв, злоумышленники выкупали рекламу в поисковиках по запросу «мобильный банк» и размещали там ссылки на свои ресурсы.

Сергей Лупанин

Руководитель отдела расследований Group-IB

После того как пользователь пытался скачать приложение, на его смартфон устанавливался банковский Android-троян Hqwar (также известный как Agent.BID). Однако группа пробовала разные инструменты и схемы вывода денежных средств, что затрудняло ее атрибуцию с конкретной атакой. В 2015 году для заражения клиентов российских банков хакеры использовали мобильный Android-троян Hqwar (Agent.BID). С 2016 года троян Honli, а с февраля 2016 года его модернизированную версию, определяемую антивирусами как Asacub.g. В этом же году они пробуют заражать смартфоны с помощью трояна своих предшественников Cron, давшего название группе. Тогда же на вооружении у TipTop стоял троян CatsElite (MarsElite). В апреле 2017 года они вновь возвращаются к использованию мобильного банкера Hqwar (Agent.BID). Однако параллельно с ним группа использовала Lokibot, а также модернизированный старый троян Marcher (Rahunok). Все мобильные трояны, которые использовали злоумышленники могли перехватывать и читать СМС, записывать телефонные разговоры, отправлять USSD-запросы, но их главной целью была кража данных банковских карт с помощью фишинговых окон, копирующих окна легальных приложений, или с помощью web-фейков для ввода логинов-паролей учетных данных личных кабинетов от интернет-банкинга популярных банков. Серверы, откуда шло заражение вредоносными программами и управление бот-сетями в разное время находились в Германии, в США, на Украине.

В ходе проведенных оперативно-розыскных мероприятий сотрудниками полиции было установлено, что к хищению денежных средств у жительниц Чувашской Республики (75 000 рублей) причастен ранее судимый 31-летний житель г. Красноярска, переводивший финансовые средства со счетов пользователей на счета и карты злоумышленников.

Молодой человек был задержан. В результате обыска, проведенного полицейскими по месту жительства подозреваемого, обнаружены и изъяты компьютерная техника, жесткие диски, флэш-накопители, телефоны и SIM-карты. По данным следствия, задержанный исполнял роль заливщика группы TipTop и непосредственно переводил деньги со счетов пользователей на счета и карты злоумышленников.

Следователями отдела МВД России по Канашскому району Республики Чувашия было возбуждено уголовное дело по признакам преступления, предусмотренного статьей 273 Уголовного кодекса Российской Федерации «Создание, использование и распространение вредоносных компьютерных программ». Затем материалы дела были переданы в Канашский районный суд, которым обвиняемый в результате был приговорен к 2 годам лишения свободы условно.

После ликвидации группы Cron в конце 2016 года, группа, получившая рабочее название TipTop, в которую входил задержанный хакер, являлась одной из самых крупных и опасных в России. С помощью Android-троянов киберпреступники смогли инфицировать более 800 000 смартфонов. Ущерб от их деятельности устанавливается, однако по некоторым оценкам они могли ежедневно похищать от 100 000 рублей до 700 000 рублей. Мы впервые зафиксировали их деятельность с 2015 года. В ходе длительной работы, оперативным службам, которым мы передали наши наработки, удалось установить потерпевших в ряде регионов России.

Сергей Лупанин

Руководитель отдела расследований Group-IB

О компании

F.A.С.С.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.С.С.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.С.С.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.С.С.T. входят в Реестр Отечественного ПО.