Компания Group-IB объявила, что при ее содействии были задержаны создатели мобильной банковской бот-сети, занимавшиеся хищениями с банковских счетов физических лиц.
Как рассказал CNews руководитель отдела расследований Group-IB Дмитрий Волков, помимо Сбербанка, выступавшего заказчиком расследования, от бот-сети пострадали клиенты еще трех банков, названия которых Group-IB не называет.
Интерес делу придает тот факт, что как заявляют представители Group-IB, задержание создателей мобильной банковской сети в России произошло впервые.
Между тем, сама бот-сеть, созданная найденными злоумышленниками, была сравнительно невелика: на пике своего развития в октябре 2013 г. она включала около 40 тыс. зараженных устройств на Android. В этом же месяце к расследованию действий злоумышленников подключилась Group-IB, и, по словам Дмитрия Волкова, развитие ботнета удалось сдерживать.
Для вывода денег со счетов злоумышленники пользовались возможностями SMS-банкинга. Троян, заразивший смартфон, с помощью средств SMS-банкинга переводил деньги с банковского счета на счет мобильного телефона, а затем выводил оттуда средства на сторонние счета, контролируемые злоумышленниками.
Первоначальное заражение Android-смартфонов трояном происходило через массовую рассылку MMS-сообщений с вредоносными ссылками.
Число пострадавших, как и сумму похищенных средств, Group-IB не называет.
Как сообщает Group-IB, в результате расследования состоялось задержание двух жителей Архангельска 1989 и 1990 года рождения, причастных к созданию бот-сети. Возбуждено уголовное дело по части 2 ст. 158 («Кража»). Один из злоумышленников арестован сроком на 2 месяца, второй находится под подпиской о невыезде.
Согласно сообщению Group-IB, организатор преступной группы начал противоправную деятельность еще в 2010 г., как разработчик вредоносных программ и владелец сайта агрегатора мобильных платежей. В Сети он был известен под никами ItBill и tripfon.
По словам Ильи Сачкова, генерального директора Group-IB, его компания оказывала поддержку расследования на всех этапах. Центр по реагированию CERT-GIB осуществлял постоянный мониторинг и своевременную блокировку новых вредоносных ресурсов. Компьютерная техника, изъятая у злоумышленников во время задержания, была направлена в криминалистическую лабораторию Group-IB для проведения исследований и фиксации дополнительной доказательной базы.