РУССКИЙ
РУССКИЙ
ENGLISH

TipTop нечаянно нагрянет

Group-IB вышла на след хакерской группы, заразившей более 800 000 смартфонов
Сегодня Group-IB раскрывает подробности громкого кейса хакерской группы TipTop, в течение четырех лет атаковавшей клиентов крупнейших российских банков. После ликвидации группы Cron в конце 2016 года, группа TipTop являлась одной из самых крупных и опасных в России. С помощью Android-троянов киберпреступники смогли инфицировать более 800 000 смартфонов и ежедневно похищали от 100 000 рублей до 700 000 рублей.
ОПЕРАТИВНАЯ СЪЕМКА
Задержание хакерской группы TipTop
Секреты маскировки
Главной целью группы TipTop были клиенты крупных российских банков — пользователи смартфонов на ОС Android. Для заражения телефонов злоумышленники маскировали вредоносные программы под мобильные приложения известных банков из ТОП-10, а также под мессенджер Viber, магазин приложений Google Play или графические приложения компании Adobe.

Ссылки на них киберпреступники размещали на собственных ресурсах или взломанных легитимных сайтах. Чтобы увеличить количество жертв, злоумышленники выкупали рекламу в поисковиках по запросу «мобильный банк» и размещали там ссылки на свои ресурсы.
После того как пользователь пытался скачать приложение, на его смартфон устанавливался банковский Android-троян Hqwar (также известный как Agent.BID). Все мобильные трояны, которые использовали злоумышленники могли перехватывать и читать СМС, записывать телефонные разговоры, отправлять USSD-запросы, но их главной целью была кража данных банковских карт с помощью фишинговых окон, копирующих окна легальных приложений, или с помощью web-фейков для ввода логинов-паролей учетных данных личных кабинетов от интернет-банкинга популярных банков.

В ходе исследования эксперты Group-IB обнаружили, что для обналичивания украденных денег в течение 2015-2017 годов группой использовалась схема с выводом денег через мобильный банкинг (суммы до 8 тысяч рублей с одного зараженного устройства). В период с 2017 по 2018 годов стала применяться схема с кражей данных банковских карт через web-фейки, которые могло демонстрировать вредоносное приложение на экране мобильного телефона.

При краже данных карты перевод мог быть выполнен через сервисы CARD2CARD российских банков, а также с использованием сервисов оплаты услуг (например, покупка и дальнейшая перепродажа лицензий на игры и карт оплаты Playstation Network и Xbox Live). Также использовался вывод денежных средств с мобильного телефона жертвы путём оплаты несуществующих услуг в магазинах, принадлежащих злоумышленникам, с подключенным сервисом оплаты.
Эволюция троянов
Впервые активность участников группы TipTop сотрудники Group-IB зафиксировали еще в 2015 году. Все 4 года своей «работы» TipTop постоянно пробовала новые инструменты, что затрудняло атрибуцию группы с конкретной атакой. В 2015 году для заражения клиентов российских банков хакеры использовали мобильный Android-троян Hqwar (Agent.BID). С 2016 года — троян Honli, а с февраля 2016 года его модернизированную версию, определяемую антивирусами как Asacub.g. В этом же году они пробуют заражать смартфоны с помощью трояна своих предшественников — Cron, давшего название группе. Тогда же на вооружении у TipTop стоял троян CatsElite (MarsElite). В апреле 2017 года они вновь возвращаются к использованию мобильного банкера Hqwar (Agent.BID). Однако параллельно с ним группа использовала Lokibot, а также модернизированный старый троян Marcher (Rahunok). Серверы, откуда шло заражение вредоносными программами и управление бот-сетями в разное время находились в Германии, в США, на Украине.
«Группа, получившая название TipTop, частично опровергает тезис о том, что Android-трояны, предлагаемые на хакерских форумах, ориентированы, прежде всего, на использование за пределами России. Серия задержаний владельцев крупнейших Android-ботсетей значительно снизила количество хищений, но вместе с тем расчистила поле от конкурентов. После ареста участников преступной группы Cron в конце 2016 года, заразившей около 1 млн смартфонов, группа TipTop, в которую входил задержанный, являлась одной из самых крупных и опасных в России. Ущерб от их деятельности устанавливается, но уже сейчас понятно, что это шестизначные суммы. Мы вышли на их след в ходе длительного расследования, после чего удалось установить потерпевших в ряде регионов России».

Сергей Лупанин,
Руководитель отдела расследованний
Group-IB.
Первый приговор
Полицейские установили, что к хищению денежных средств у жительниц Чувашской Республики (75 000 рублей) причастен ранее судимый 31-летний житель г. Красноярска, который исполнял роль заливщика группы TipTop и непосредственно переводил деньги со счетов пользователей на счета и карты злоумышленников..

Злоумышленник был задержан в результате проведенной спецоперации отдела «К» БСТМ МВД по Республике Чувашия и Управления «К» МВД России при содействии экспертов Group-IB. В результате обыска, проведенного полицейскими по месту жительства подозреваемого, обнаружены и изъяты компьютерная техника, жесткие диски, флэш-накопители, телефоны и SIM-карты.

Следователями отдела МВД России по Канашскому району Республики Чувашия было возбуждено уголовное дело по признакам преступления, предусмотренного статьей 273 Уголовного кодекса Российской Федерации «Создание, использование и распространение вредоносных компьютерных программ». Затем материалы дела были переданы в Канашский районный суд, которым обвиняемый в результате был приговорен к 2 годам лишения свободы условно. Другие участники TipTop также установлены и задержаны.
Рекомендации от Group-IB, как не стать жертвой киберпреступников:
  1. Соблюдайте правила цифровой гигиены. Не кликайте подозрительные ссылки, даже если их вам прислали знакомые — их тоже могли заразить вирусом. Не устанавливайте на телефон приложения из сомнительных источников.
  2. Никому и ни при каких обстоятельствах не называйте реквизиты банковской карты, SMS-коды, направленные от банка. Сотрудники банка никогда не запрашивают эти данные.
  3. Никому не сообщайте конфиденциальные данные, использующиеся для доступа к личному кабинету онлайн-банкинга.
  4. Если ссылок на официальные сообщества банка в социальных сетях нет на официальном сайте, не используйте эти сообщества.
  5. При возникновении проблем с оказываемыми банковскими услугами лучше позвонить напрямую в банк по указанному номеру на официальном сайте банка или на вашей банковской карте.
  6. Общаясь с клиентами в социальных сетях, сотрудники банка никогда не переводят общение «в личку» и не пишут персональных сообщений. Они консультируют только в официальном сообществе, в открытых обсуждениях.
  7. Имейте ввиду, что сотрудники банка оказывают консультацию только по общим вопросам, что снимает необходимость персонализации клиента.
  8. Стоит учесть, что сотрудники банка никогда не торопят клиента с решением, задача же мошенников – не дать времени проанализировать ситуацию.Заходите только на официальные сайты компаний и банков. Не оставляйте свои персональные данные и данные банковской карты на сомнительных ресурсах. Обращайте внимание на доменное имя и интерфейс ресурса.
  9. Не доверяйте низким ценам, не производите предоплату и не переводите деньги на карту или электронный кошелек продавцов.
  10. Не проводите оплату банковской картой на сайтах с небезопасным соединением, без сертификата https. Наличие сертификата в адресной строке существенно снижает риск мошенничества, но в некоторых случаях его тоже подделывают.
  11. Ставьте последние обновления операционной системы.
  12. Самое главное: в случае возникновения малейших сомнений при консультировании в сообществе банка необходимо прекратить общение и позвонить в банк.