CronBot: buscaban las credenciales bancarias

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

CronBot, una botnet que infectó a un millón de teléfonos inteligentes, para robar credenciales bancarias

Una vez que las víctimas descargaron e instalaron las aplicaciones falsas en sus dispositivos, las aplicaciones se agregaron al inicio automático y el malware ocultado dentro de ellos otorgó a los hackers la habilidad de registrar las credenciales bancarias de las víctimas y de interceptar mensajes SMS que contenían los códigos de confirmación enviados por el banco, para verificar las transacciones.

Después de la instalación, el programa se agregó al inicio automático y podía enviar mensajes SMS a los números de teléfono indicados por los delincuentes, cargar mensajes SMS recibidos por la víctima a servidores C & C y ocultar mensajes SMS procedentes del banco.

El enfoque fue bastante simple: después de que el teléfono de una víctima se infectó, el troyano podría transferir automáticamente dinero de la cuenta bancaria del usuario a cuentas controladas por los intrusos. Para retirar con éxito el dinero robado, los hackers abrieron más de 6 mil cuentas bancarias.

Agilidad cibercriminal para cometer delitos

La banda envió mensajes de texto a los bancos, iniciando una transferencia de hasta $ 120 a una de sus 6.000 cuentas bancarias que el grupo estableció para recibir los pagos fraudulentos.

El malware entonces interceptaría los códigos de verificación en dos pasos enviados por el banco para confirmar la transacción y bloquear a las víctimas de recibir un mensaje notificándoles sobre la transacción.

El 1 de abril de 2016, la banda anunció su troyano bancario Android, llamado “Cron Bot”, en un foro de habla rusa, dando a las autoridades rusas una pista para su investigación sobre la operación del grupo.

El grupo robó aproximadamente 8.000 rublos (casi 100 dólares) de una víctima en promedio, consiguiendo una cantidad total de 50 millones de rublos (casi 900.000 dólares) de más de un millón de víctimas, con 3.500 dispositivos Android únicos infectados por día.

CronBot a escala global

Después de dirigirse a clientes del Banco en Rusia, donde vivían, la banda Cron planeaba expandir su operación dirigiéndose a clientes de bancos de varios países, incluyendo Estados Unidos, Reino Unido, Alemania, Francia, Turquía, Singapur y Australia.

A mediados de 2016, la banda alquiló el uso del malware llamado “Tiny.z” por $ 2.000 al mes, diseñado para atacar a clientes de bancos rusos, así como a bancos internacionales en Gran Bretaña, Alemania, Francia, Estados Unidos y Turquía, entre otros países.

De la misma forma que el cibercrimen no descansa, debemos estar atentos a la evolución que ellos tienen, para poder responder en tiempo real al cambio.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS