Nga triệt phá băng hacker trộm tiền ngân hàng

11:37 15/06/2017
Cảnh sát Nga tuyên bố vừa bắt giữ một nhóm tội phạm mạng cài đặt virus trên điện thoại thông minh để trộm tiền từ tài khoản của khách hàng.


Đây là cuộc điều tra có quy mô lớn. Chi tiết về việc bắt giữ vừa được Cảnh sát Nga công bố. Theo đó, có đến 16 nghi phạm tại 6 khu vực khác nhau của Nga bị bắt giữ vào trung tuần tháng 11-2016 và tháng 4-2017. 

Trong quá trình điều tra, phía cảnh sát cũng đã nhận được sự giúp đỡ tích cực của Công ty an ninh mạng Group-IB.

“Khởi nghiệp” từ giữa năm 2015

Nhóm mã độc Cron được phát hiện lần đầu tiên vào giữa năm 2015, khi chúng được phát tán trên các ứng dụng ngân hàng giả mạo. Các hacker đã viết ứng dụng giả theo ứng dụng gốc của các ngân hàng và cài mã độc Cron cùng với nó. Chúng cũng cài mã độc này vào các ứng dụng giả của các trang web có tiếng khác như Navitel, Framaroot, Pornhub, Avito...

Khi người dùng tải về hoặc cài đặt các ứng dụng này trên điện thoại của họ cũng đồng nghĩa với việc bị đánh cắp tất cả các thông tin cá nhân và cho phép bọn tội phạm tiếp quản luôn tài khoản ngân hàng của mình.

Phần mềm độc hại Cron cho phép những kẻ lừa đảo tiếp quản tài khoản ngân hàng trên điện thoại di động của người dùng, và đánh cắp một khoản tiền nhỏ độ 120USD thông qua mỗi lệnh chuyển tiền bằng tin nhắn.

Hiện tại, nhóm tội phạm này mới chỉ phát tán mã độc nhắm vào lượng khách hàng tại các ngân hàng của Nga. Việc phát tán mã độc của nhóm tội phạm công nghệ này đã bị Công ty an ninh mạng Group-IB và Cảnh sát Nga theo dõi, mở cuộc điều tra quy mô lớn.

Chiêu mộ trên các diễn đàn ngầm

Ngày 1-4-2016, nhóm tội phạm đã đăng một quảng cáo trên diễn đàn nói tiếng Nga quảng bá cho ngân hàng của chúng. Sai lầm chết người của chúng là đây, nhưng đó lại chính là đầu mối khiến các chuyên gia của Group-IB nghi ngờ chủ nhân của mẩu quảng cáo có thể là kẻ chủ mưu việc phát tán mã độc Cron. Theo Group-IB, mục đích của quảng cáo là tìm mạng lưới cộng tác viên để mở rộng mạng lưới “kinh doanh”.

Sau khi “thành công” trong việc lấy tiền của các khách hàng thuộc các ngân hàng Nga, nhóm tội phạm này quyết định mở rộng hoạt động ở các nước khác bằng cách thuê mã độc được thiết kế để tấn công các hệ thống ngân hàng di động có tên “Tiny.z” với giá 2.000 USD/tháng trên các diễn đàn ngầm. Mã độc “Tiny.z” có khả năng tấn công khách hàng của các ngân hàng tại Anh, Đức, Pháp, Mỹ, Thổ Nhĩ Kỳ và các nước khác.

Đứng sau phần mềm độc hại Ponyforx

Tháng 9-2016, nhà nghiên cứu về an ninh mạng người Pháp Kafeine đã phát hiện ra một mẩu quảng cáo từ nhóm tội phạm sử dụng mã độc Cron, chính là mã độc Ponyforx. Mã độc này nhắm vào hệ điều hành Windows, dựa trên mã độc Pony rất phổ biến. Tuy nhiên, nhóm tội phạm không có thời gian phát tán mã độc này, bởi chỉ 2 tháng sau đó, nhóm an ninh mạng Group-IB đã hỗ trợ Cảnh sát Nga theo dõi và bắt giữ.

Tổng cộng có 16 nghi phạm bị bắt giữ, trong đó có thủ lĩnh băng đảng 30 tuổi, sống tại thành phố Ivanovo cách thủ đô Moscow 300km. Từ đây, hắn điều hành một nhóm 20 người tại 6 khu vực khác nhau. Cảnh sát đã tịch thu máy tính, hàng trăm thẻ ngân hàng và thẻ SIM đăng ký bằng tên giả. Vụ bắt giữ cuối cùng vừa diễn ra vào tháng 4 vừa qua là một người đàn ông ở Sankt Petersburg.

Đã kiếm được 900.000 USD ở Nga

Trong một thông cáo báo chí, Bộ Nội vụ Nga cho biết chỉ riêng ở Nga nhóm tội phạm này đã “bỏ túi” hơn 50 triệu rúp, tương đương 900.000 USD bị đánh cắp.

Công ty an ninh mạng Group-IB cho biết, có trên 1 triệu smartphone bị ảnh hưởng với khoảng trung bình 3.500 thiết bị mỗi ngày, và trên 6.000 tài khoản ngân hàng bị đánh cắp. Hơn nữa, vào thời điểm bị bắt, nhóm Cron đang chuẩn bị khởi động một chiến dịch sử dụng mã độc Tiny.z để tấn công khách hàng của các ngân hàng Pháp.

Dmity Volkov, người đứng đầu Công ty an ninh mạng Group-IB, cho biết: “Thành công của Cron nhờ vào 2 yếu tố chính: sử dụng các chương trình phát tán mã độc theo nhiều cách khác nhau với quy mô lớn và việc tự động hóa nhiều chức năng trên di động cho phép chúng thực hiện hành vi trộm cắp mà không cần dính líu trực tiếp”.

B. Uyên

Hoà trong không khí cả nước tưng bừng kỷ niệm 135 năm Ngày sinh Chủ tịch Hồ Chí Minh (19/5/1890-19/5/2025), tối 17/5, tại Nhà hát Hồ Gươm đã diễn ra chương trình nghệ thuật “Hồ Chí Minh đẹp nhất tên Người”.  Chương trình do Bộ Công an, Cục Công tác chính trị chỉ đạo Nhà hát Hồ Gươm phối hợp cùng các đơn vị tổ chức.

Theo dự báo, hôm nay khu vực Bắc Bộ, Thanh Hóa và Nghệ An sẽ có mưa vừa, mưa to và dông, cục bộ có nơi mưa rất to với lượng mưa phổ biến từ 30-70mm, cục bộ có nơi trên 100mm (tập trung vào chiều tối và đêm). 

Để phục vụ yêu cầu điều tra, giải quyết vụ án “Đưa hối lộ"; "Nhận hối lộ” xảy ra tại Công ty TNHH Xây dựng và Khảo sát công trình Thanh Tuấn (Công ty Thanh Tuấn), Ban Quản lý dự án hạ tầng đô thị (Ban hạ tầng) cùng một số đơn vị liên quan, ngày 12/2 vừa qua Cục CSĐT tội phạm và tham nhũng, kinh tế, buôn lậu (Cục CSKT) Bộ Công an tiếp tục đề nghị UBND TP Hồ Chí Minh và các sở, ngành liên quan cung cấp hồ sơ, tài liệu của dự án…

©2004. Bản quyền thuộc về Báo Công An Nhân Dân.
®Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Công An Nhân Dân.