Cibercriminales rusos usaron malware plantado en dispositivos móviles Android para robar a clientes de bancos rusos que planeaban atacar a prestamistas europeos antes de su arresto, según investigadores y fuentes de Reuters.

Su campaña recaudó una suma relativamente pequeña para los estándares de los cibercriminales, más de 50 millones de rublos (892,000 dólares), pero también habían conseguido software malicioso más sofisticado por una modesta tarifa mensual para ir tras los clientes de bancos de Francia y posiblemente de otras naciones occidentales.

La relación de Rusia con el cibercrimen está bajo un intenso escrutinio después de que oficiales de inteligencia de Estados Unidos afirmaran que los hackers rusos habían intentado ayudar al republicano Donald Trump a ganar la presidencia de Estados Unidos atacando los servidores del Partido Demócrata.

El Kremlin ha negado repetidamente dicha afirmación.

Los miembros de la banda engañaron a los clientes de los bancos rusos para que descargaran malware a través de aplicaciones móviles falsas, así como a través de pornografía y programas e-commerce, de acuerdo a un reporte compilado a por la compañía de ciberseguridad Group-IB la cual investigó el ataque con el Ministro del Interior Ruso.

Los 16 sospechosos que fueron arrestados por las autoridades rusas en noviembre del año pasado infectaron más de un millón de smartphones en Rusia, comprometiendo en promedio 3,500 dispositivos al día, declaró Group-IB.

Los hackers se enfocaron en clientes del prestamista de estado Sberbank (SBER.MM) y también en robar dinero de cuentas de Alfa Bank y de la compañía de pagos en línea Qiwi (QIWI.O), aprovechando las debilidades en los servicios de transferencia de mensajes de texto SMS, delcararon dos personas con conocimiento directo del caso.

Aunque operaban solo en Rusia antes de su arresto, habían desarrollado planes para enfocarse en grandes bancos europeos incluyendo a prestamistas franceses de Credit Agricole (CAGR.PA), BNP Paribas (BNPP.PA) y Société Générale (SOGN.PA), declaró Group-IB.

Una vocera de BNP Paribas dijo que el banco no podía confirmar ésta información, pero añadió que tiene un conjunto de medidas significativas listas dirigidas a combatir ciberataques de forma habitual, la Société Générale se negó a hacer comentarios.

La banda, la cual era llamada “Cron” por del malware que utilizó, no robó ninguno de los fondos de los clientes de los tres bancos franceses. Sin embargo, se aprovechó del servicio del banco en Rusia que permite a los usuarios transferir pequeñas sumas a otras cuentas al enviar un mensaje SMS.

Habiendo infectado los teléfonos de los clientes, la banda envió mensajes SMS desde esos dispositivos dando instrucciones a los bancos de transferir el dinero a las propias cuentas de los hackers.

Los hallazgos ilustran los peligros de usar mensajes SMS para la banca móvil, un método preferido en países emergentes con infraestructura de internet menos avanzada, dijo Lukas Stefanko, investigador en malware de la compañía de seguridad ESET en Eslovaquia.

"Se está haciendo popular entre las naciones en desarrollo o en las zonas rurales donde el acceso a la banca convencional es difícil para las personas", dijo él. "Para ellos es rápido, fácil y no necesitan ir a un banco… Pero la seguridad siempre tiene que sobrepasar la conveniencia del consumidor ".

Cibercriminales

El Ministro del Interior dijo que varias personas han sido arrestadas, incluyendo al que describió como el líder de la banda. Este es un hombre de 30 años que vivía en Ivánovo, una ciudad industrial a 185 millas (300 km) al noreste de Moscú, desde donde él había dirigido un equipo de 20 personas a lo largo de seis diferentes regiones.

Cuatro personas permanecen detenidas mientras los demás están bajo arresto domiciliario, dijo el ministro en una declaración.

"En el curso de 20 búsquedas a lo largo de seis regiones, la policía se apoderó de computadoras, cientos de tarjetas bancarias y tarjetas SIM registradas con nombre falsos", dijo.

Group-IB dijo que la existencia del malware Cron fue primero detectada a mediados de 2015, y para cuando ocurrieron los arrestos los hackers lo habían estado usando por cerca de un año.