Dan Molina, Managing Director de IB-Group, revela la operación Cron Bot

Cron Bot: casi un millón de smartphones infectados

El Ministerio del Interior ruso anunció el arresto de 20 personas, en el marco de la operación Cron Bot realizada por una importante banda criminal cibernética

Con Bot había robado casi 900.000 dólares de cuentas bancarias tras infectar más de un millón de teléfonos inteligentes con un troyano móvil.

La representante rusa del Ministerio del Interior, Rina Wolf, dijo que las detenciones formaron parte de un esfuerzo conjunto con la firma rusa de seguridad de Group-IB, que ayudó a la investigación masiva.

Group-IB colaboración definitoria para desbaratar la banda

La colaboración resultó en la detención de 16 miembros del grupo Cron en noviembre de 2016, mientras que los últimos miembros activos fueron detenidos en abril de 2017, todos viviendo en las regiones rusas de Ivanovo, Moscú, Rostov, Chelyabinsk y Yaroslavl entre otras.

El Group-IB se enteró por primera vez de la pandilla de malware de Cron en marzo de 2015, cuando la pandilla criminal distribuía el malware de Cron Bot disfrazado de aplicaciones Viber y Google Play.

La banda de ciberdelincuentes  Cron abusó de la popularidad de los servicios de banca SMS y distribuyó el malware en los dispositivos Android de las víctimas mediante la creación de aplicaciones diseñadas para imitar las aplicaciones oficiales de los bancos.

La banda de cibercriminales incluso insertó el malware en falsas aplicaciones móviles para sitios pornográficos populares, como PornHub.

Apuntaron a las credenciales bancarias

Una vez que las víctimas descargaron e instalaron estas aplicaciones falsas en sus dispositivos, las aplicaciones se agregaron al inicio automático y el malware ocultado dentro de ellos otorgó a los hackers la habilidad de registrar las credenciales bancarias de las víctimas y de interceptar mensajes SMS que contenían los códigos de confirmación enviados por el banco, para verificar las transacciones.

“Después de la instalación, el programa se agregó al inicio automático y podía enviar mensajes SMS a los números de teléfono indicados por los delincuentes, cargar mensajes SMS recibidos por la víctima a servidores C & C y ocultar mensajes SMS procedentes del banco”, asegura Dan Molina Managing Director de Group-IB para las Américas.

“El enfoque fue bastante simple: después de que el teléfono de una víctima se infectó, el troyano podría transferir automáticamente dinero de la cuenta bancaria del usuario a cuentas controladas por los intrusos.” Para retirar con éxito el dinero robado, los hackers abrieron más de 6 mil cuentas bancarias.

Dinámica de trabajo muy pulida

Por lo general, la banda envió mensajes de texto a los bancos, iniciando una transferencia de hasta $ 120 a una de sus 6.000 cuentas bancarias que el grupo estableció para recibir los pagos fraudulentos.

El malware entonces interceptaría los códigos de verificación en dos pasos enviados por el banco para confirmar la transacción y bloquear a las víctimas de recibir un mensaje notificándoles sobre la transacción.

El 1 de abril de 2016, la banda anunció su troyano bancario Android, llamado “Cron Bot”, en un foro de habla rusa, dando a los investigadores del Group-IB ya las autoridades rusas una pista para su investigación sobre la operación del grupo.

Según la firma de seguridad, el grupo robó aproximadamente 8.000 rublos (casi 100 dólares) de una víctima en promedio, consiguiendo una cantidad total de 50 millones de rublos (casi 900.000 dólares) de más de un millón de víctimas, con 3.500 dispositivos Android únicos infectados por día .

Planes globales

Después de dirigirse a clientes del Banco en Rusia, donde vivían, la banda Cron planeaba expandir su operación dirigiéndose a clientes de bancos de varios países, incluyendo Estados Unidos, Reino Unido, Alemania, Francia, Turquía, Singapur y Australia.

En junio de 2016, la banda alquiló el uso del malware llamado “Tiny.z” por $ 2.000 al mes, diseñado para atacar a clientes de bancos rusos, así como a bancos internacionales en Gran Bretaña, Alemania, Francia, Estados Unidos y Turquía, entre otros países.

Francia era el próximo objetivo

A pesar de operar sólo en Rusia antes de su detención, la banda cibercriminal ya había desarrollado inyecciones web para varios bancos franceses, incluyendo Credit Agricole, Assurance Banque, BNP Paribas, Banque Populaire, Boursorama, Caisse d’Epargne, Societe Generale y LCL, según informó Dan Molina de Group-IB.

Sin embargo, antes de que la banda pudiera lanzar ataques contra bancos franceses, las autoridades lograron interrumpir sus operaciones realizando varios arrestos, entre ellos el fundador de la banda, un residente de 30 años de edad en Moscú.

Durante las incursiones, las autoridades se apoderaron de equipos informáticos, tarjetas bancarias y tarjetas SIM asociadas con la banda criminal.