De Russische autoriteiten hebben een criminele bende opgerold die meer dan één miljoen Androidtoestellen met bankmalware infecteerde om geld van bankrekeningen te stelen. Dat heeft het Russische beveiligingsbedrijf Group-IB vandaag in een blogposting bekendgemaakt.
De "Cron-bende" verscheen voor het eerst in 2015 op de radar. Op fora voor criminelen bood de bende de "Cron-malware" aan, die zich voordeed als de chat-app Viber en Google Play. Eenmaal actief op een toestel probeerde de malware geld van de rekening van het slachtoffer naar rekeningen van de criminelen over te maken. In totaal openden de criminelen meer dan 6000 bankrekeningen. Via Cron werd omgerekend 960.000 euro buitgemaakt.
De Cron-malware kon sms-berichten naar telefoonnummers sturen die door de criminelen waren opgegeven. Ook kon de malware ontvangen sms-berichten uploaden en sms-berichten van de bank verbergen. Om de malware te verspreiden werden sms-berichten met kwaadaardige linkjes en geïnfecteerde applicaties gebruikt. Op deze manier raakten meer dan 1 miljoen Androidtoestellen besmet.
De Cron-malware richtte zich op populaire Russische banken. De bende zou echter plannen hebben om ook banken in andere landen aan te vallen, waarbij Frankrijk als eerste land werd gekozen. Zo werden "webinjects" voor verschillende Franse banken ontwikkeld. Via een webinject kan er bijvoorbeeld op een besmette computer informatie aan de banksite worden toegevoegd. De website zal dan bijvoorbeeld melden dat er een speciale app moet worden geïnstalleerd of vraagt om het telefoonnummer. Op deze manier wordt geprobeerd de smartphone te infecteren.
Eind 2016 waren alle bendeleden in kaart gebracht en was er voldoende bewijsmateriaal verzameld. Op 22 november vond er een grootschalige operatie in Rusland plaats waarbij meerdere bendeleden werden aangehouden. Het laatste voorvluchtige bendelid werd begin april van dit jaar opgepakt. Volgens Group-IB zijn Androidgebruikers met name kwetsbaar voor beveiligingsdreigingen en moeten ze "extreem voorzichtig" zijn. Zo wordt aangeraden om geen linkjes in e-mail- of socialmediaberichten te openen, ook als ze van bekenden afkomstig zijn. Daarnaast moeten mobiele applicaties alleen via Google Play worden gedownload.
Deze posting is gelocked. Reageren is niet meer mogelijk.