Как говорится в записи, опубликованной в блоге Group IB, хакерская группировка под названием Cron начала свою деятельность еще в марте 2015 года, а в апреле 2016 года киберпреступники стали распространять Android-троян под названием cronbot. В среднем ежедневно им удавалось заразить 3500 устройств, а в общей сложности жертвами вредоносной программы стали более миллиона пользователей.
Суть работы вируса заключалась в том, что он позволял злоумышленникам получить контроль над устройством и при помощи скрытых SMS-сообщений переводить средства владельцев смартфонов, пользующихся приложениями крупных российских банков, на собственные счета (всего хакеры открыли более шести тысяч счетов). Общий ущерб от деятельности группировки превысил 50 миллионов рублей.
Стоит отметить, что интересы хакеров не ограничивались только российскими банками. По данным Group IB, в июне 2016 года группировка Cron за две тысячи долларов в месяц взяла в аренду банковский мобильный троян Tiny.z - более универсальную вредоносную программу под Android, нацеленную на клиентов не только российских, но иностранных банков. В качестве основной цели злоумышленники выбрали банки Франции. Для этого они разработали специальные инжекты для банков Credit Agricole, Assuarance Banque, Banque Populaire, BNP Paribas, Boursorama, Caissee Pargne, Societe General и LCL.
"В ходе поведения оперативно-разыскных мероприятий было установлено, что в состав группы входит 20 человек, проживающих на территории Ивановской, Московской, Ростовской, Челябинской, Ярославской областей и Республики Марий Эл, а организатором незаконного бизнеса является 30-летний житель города Иваново", - говорится в сообщении МВД.
При этом в записи из блога Group IB уточняется, что 16 участников Cron были задержаны в шести регионах РФ еще в ноябре прошлого года, а последний активный член группы был задержан в начале апреля в Санкт-Петербурге. Также в рамках расследования было проведено 20 обысков, в ходе которых оперативники изъяли компьютерную технику, сотни банковских карт и сим-карт, оформленных на подставных лиц.
В отношении киберпреступников было возбуждено уголовное дело по признакам составов преступлений, предусмотренных ч. 4 ст. 159.6 УК РФ ("Мошенничество в сфере компьютерной информации").