网络犯罪团伙因向100多万部手机感染银行特洛伊木马而被捕

俄罗斯内政部周一宣布，逮捕了一个大型网络犯罪团伙的20人。该团伙用一种名为“CronBot”的移动特洛伊木马病毒感染了100多万部安卓智能手机，从银行账户偷走了近90万美元

合作导致2016年11月逮捕了克朗集团的16名成员，而最后一批活跃成员于2017年4月被捕，他们都生活在俄罗斯的伊万诺沃、莫斯科、罗斯托夫、车里雅宾斯克、雅罗斯拉夫尔和马里埃尔共和国。

针对100多万部手机，他们是怎么做到的？

IB集团于2015年3月首次得知Cron恶意软件团伙，当时犯罪团伙正在分发伪装成Viber和Google Play应用程序的Cron机器人恶意软件。

Cron恶意软件团伙滥用短信银行服务的流行性，通过设置模仿银行官方应用的应用程序，将恶意软件分发到受害者的Android设备上。

该团伙甚至将恶意软件插入到流行色情网站（如PornHub）的假手机应用程序中。
一旦受害者下载并在其设备上安装了这些假应用，这些应用就会自动启动，隐藏在其中的恶意软件使黑客能够仿冒受害者的银行凭证，并截获包含银行发送的确认码的短信，以验证交易。

Group-IB写道：“安装后，该程序加入自动启动功能，可以向犯罪分子指定的电话号码发送短信，将受害者收到的短信上传到C&C服务器，并隐藏来自银行的短信”。

“方法相当简单：在受害者的手机被感染后，特洛伊木马可以自动将用户银行账户中的资金转移到入侵者控制的账户。为了成功提取被盗资金，黑客打开了6000多个银行账户”。

该团伙通常向银行发送短信，发起向其6000个银行账户中的一个账户转账至多120美元。该组织设立该账户是为了接收欺诈性付款。

然后，恶意软件会截获银行发送的两步验证码，以确认交易，并阻止受害者收到通知他们交易的消息。

仅在俄罗斯，网络窃贼就偷走了90万美元

2016年4月1日，该团伙在一个讲俄语的论坛上发布了名为“Cron Bot”的安卓银行特洛伊木马程序的广告，为该集团的IB研究人员和俄罗斯当局调查该集团的运营提供了线索。

据这家安全公司称，该组织平均从一名受害者那里窃取了约8000卢布（近100美元），从100多万受害者那里总共获得了5000万卢布（近90万美元），每天有3500台独特的安卓设备受到感染。
克朗集团将目标客户锁定在他们居住的俄罗斯，之后计划通过锁定美国、英国、德国、法国、土耳其、新加坡和澳大利亚等多个国家的银行客户来扩大业务。

2016年6月，该团伙以每月2000美元的价格租用了一款名为“Tiny.z”的恶意软件，旨在攻击俄罗斯银行以及英国、德国、法国、美国和土耳其等国国际银行的客户。

IB集团称，尽管被捕前仅在俄罗斯开展活动，但这些团伙成员已经为法国农业信贷银行、担保银行、法国巴黎银行、人民银行、Boursorama、Caisse d’Epargne、法国兴业银行和LCL等多家法国银行开发了网络注入。

然而，在该团伙可能对法国银行发起攻击之前，当局成功地通过逮捕几人扰乱了它们的运作，其中包括该团伙的创始人、莫斯科伊万诺沃的一名30岁居民。

在突袭中，当局没收了与犯罪团伙有关的计算机设备、银行卡和SIM卡。