Chiến dịch của chúng dù mới thu về khoản tiền tương đối nhỏ so với tiêu chuẩn tội phạm mạng – hơn 50 triệu rúp (892.000 USD) nhưng chúng lại sở hữu mã độc tinh vi hơn để chuẩn bị tấn công người dùng các ngân hàng tại Pháp và các nước phương Tây.

Theo báo cáo của hãng bảo mật Group-IB, tổ chức điều tra vụ tấn công cùng Bộ Nội vụ Nga, các thành viên trong nhóm “Cron” đã lừa người dùng Nga tải mã độc thông qua ứng dụng ngân hàng di động giả mạo cũng như các chương trình thương mại điện tử, khiêu dâm. Sau khi cấy mã độc lên điện thoại nạn nhân, nhóm gửi tin nhắn SMS từ các thiết bị để hướng dẫn ngân hàng chuyển tiền vào tài khoản hacker.

16 nghi phạm đã bị nhà chức trách Nga bắt giữ vào tháng 11/2016, làm ảnh hưởng đến hơn 1 triệu smartphone của Nga với tiến độ trung bình 3.500 thiết bị/ngày. Nhóm nhằm vào khách hàng Sberbank và cũng đánh cắp tiền từ các tài khoản tại Alfa Bank và công ty thanh toán trực tuyến Qiwi, khai thác điểm yếu trong dịch vụ chuyển tiền qua tin nhắn SMS.

Dù mới chỉ hoạt động tại Nga trước khi bị bắt, chúng đã lên kế hoạch nhằm vào các ngân hàng châu Âu lớn như Credit Agricole, BNP Paribas, Societe Generale của Pháp.

Lukas Stefanko, một chuyên gia của hãng bảo mật ESET, cho rằng phát hiện cho thấy nguy cơ từ việc sử dụng tin nhắn SMS cho ngân hàng di động, một phương thức được ưa chuộng tại các nước đang phát triển có cơ sở hạ tầng Internet kém hiện đại.

Tội phạm mạng

Bộ Nội vụ Anh cho biết một số người đã bị bắt, bao gồm cả thủ lĩnh băng đảng. Đó là một người đàn ông 30 tuổi đang sống tại Ivanovo, thành phố công nghiệp cách thủ đô Matxcova 300km. Từ đây, hắn điều hành một nhóm 20 người tại 6 khu vực khác nhau. Cảnh sát đã tịch thu máy tính, hàng trăm thẻ ngân hàng và thẻ SIM đăng ký bằng tên giả.

Theo Group-IB, mã độc Cron bị phát hiện lần đầu tiên vào giữa năm 2015 và vào thời điểm bắt giữ, hacker đã dùng nó chưa đầy 1 năm. Các thành viên cốt cán bị bắt ngày 22/11/2016 tại Ivanovo. Chúng bị bắt trước khi thực hiện các vụ tấn công bên ngoài nước Nga.

Group-IB cho biết vào tháng 6/2016, băng nhóm thuê mã độc được thiết kế để tấn công các hệ thống ngân hàng di động có tên “Tiny.z” với giá 2.000 USD/tháng. Tác giả của “Tiny.z” đã dùng nó để tấn công ngân hàng tại Anh, Đức, Pháp, Mỹ, Thổ Nhĩ Kỳ cùng các nước khác.

Băng “Cron” đã phát triển phần mềm để tấn công các tổ chức cho vay, trong đó có 3 tổ chức của Pháp.

Ứng dụng di động giả mạo

Dmity Volkov, người đứng đầu cuộc điều tra của Group-IB, cho biết thành công của nhóm Cron có được là nhờ sự phổ biến của các dịch vụ ngân hàng SMS tại Nga.

Nhóm cấy mã độc lên thiết bị của nạn nhân bằng cách viết ứng dụng mô phỏng ứng dụng gốc của ngân hàng. Khi người dùng tìm kiếm trên mạng, kết quả sẽ gợi ý ứng dụng giả mạo để lừa họ tải về. Hacker cũng chèn mã độc vào ứng dụng giả mạo đối với các trang web khiêu dâm nổi tiếng.

Sau khi cấy mã độc thành công, hacker gửi tin nhắn đến ngân hàng để kích hoạt lệnh chuyển tiền tối đa 120 USD đến 1 trong 6.000 tài khoản ngân hàng của chúng. Tiếp đó, mã độc can thiệp vào mã xác nhận được gửi từ ngân hàng và chặn nạn nhân nhận tin nhắn thông báo giao dịch.

Ông Volkov nói: “Thành công của Cron nhờ vào 2 yếu tố chính. Đầu tiên là sử dụng các chương trình phát tán mã độc theo nhiều cách khác nhau với quy mô lớn. Thứ hai là việc tự động hóa nhiều chức năng trên di động cho phép chúng thực hiện hành vi trộm cắp mà không cần dính líu trực tiếp”.