DETENIDO EL CREADOR DEL MALWARE TINY.Z Y PONYFORX

Las autoridades rusas han detenido al hacker Cron responsable de vender el troyano bancario Tiny.z Android y el Infostealer PonyForx de Windows

La investigación fue de proporciones masivas y las autoridades detuvieron a más de 16 personas en seis regiones rusas diferentes entre noviembre de 2016 y de abril de 2017.

Los detalles sobre la detención del 22 de mayo se convirtieron en público a través de un comunicado de la policía rusa y el Grupo IB, una firma de seguridad cibernética en Rusia, que ayudó durante la investigación.

Cron comenzó con sus operaciones a mediados de 2015 cuando empezaron a distribuir el troyano bancario Tiny.z Android a través de las tiendas de aplicaciones de terceros.

Los ladrones escondian el troyano como copias de aplicaciones bancarias oficiales, o dentro de otras aplicaciones, tales como Navitel, Framaroot, Pornhub, Avito, y otros.

Una vez que los usuarios instalan estas aplicaciones en sus dispositivos, el malware oculto en el interior les concedió el grupo Cron la capacidad de phishing credenciales bancarias y códigos de verificación de dos pasos desde el dispositivo del usuario mediante la interceptación de mensajes SMS.

Tiny.z permitió que los ladrones se hagan cargo de las cuentas bancarias utilizando dispositivo Android del usuario, y el dinero de las víctimas en las pequeñas transacciones de $ 120.

Mientras que el grupo dirigia sus ataques clientes de los bancos en varios países, el grupo cometio un error crucial apuntando a los clientes de los bancos de Rusia, país en el que vivían.

Sus campañas de malware intrusivos llamaron la atención de los investigadores del Grupo IB-y las autoridades rusas, que comenzaron una investigación sobre el funcionamiento del grupo.

Su mayor error fue cuando, el 1 de abril de 2016, publicaron un anuncio en un foro de habla rusa, la publicidad de su troyano bancario Android. Esto dio a los investigadores del Grupo IB-una pista inicial de quién estaba detrás de la ola de infecciones Tiny.Z.

El grupo utilizó el sobrenombre Cronbot y hace referencia a su troyano bancario como "Cron", pero en ese momento las empresas de seguridad detecta el malware como Tiny.z.

De acuerdo con Grupo IB, el propósito del anuncio era encontrar un colaborador para ampliar su equipo original, que ya contó con varios individuos en papeles de mulas de dinero, cryptors, traficantes, y otros.

De acuerdo con el anuncio, esta persona habría tenido acceso al panel backend Tiny.z y ayudó al grupo a difundir el software malicioso a nuevas víctimas.

Después de esta expansión inicial, la banda Cron decidió ir totalmente pública y publicó otro anuncio en 2016 de junio donde abrieron el backend Tiny.z a cualquier cliente potencial de $ 2.000 por mes.

En ese momento, se había expandido Tiny.z de la focalización bancos rusos y solo se incluye el apoyo a los ataques a los bancos en los EE.UU., el Reino Unido, Alemania, Francia, Turquía, Singapur, Australia, y otros países.

En septiembre de 2016, el investigador de seguridad francesa Kafeine vio otro anuncio de la banda Cron, esta vez por el malware Ponyforx, un troyano Infostealer la orientación de la plataforma Windows, y se basa en los más populares programas maliciosos Pony.

En su anuncio, el grupo refirió a este Infostealer como "ladrón de Fox v1.0". Ponyforx es cómo los investigadores de seguridad rastrearon el malware antes de la aparición del anuncio.

Sin embargo, el grupo no tenía tiempo para proliferar esta nueva herramienta, ya en noviembre de 2016, la policía rusa, con el apoyo del Grupo IB, ya había rastreado a los miembros del grupo y comenzó a hacer detenciones.

En total, 16 miembros, entre ellos el líder del grupo Cron, fueron detenidos en las provincias rusas de Ivanovo, Moscú, Rostov, Chelyabinsk, Yaroslavl, y la República de Mari El. La última detención se produjo en abril, cuando la policía detuvo a un hombre en San Petersburgo.

En un comunicado de prensa, el Ministerio del Interior de Rusia dijo que el grupo hace más de 50 millones de rublos ($ 0,9 millones) de hacer funcionar el troyano bancario Tiny.z Android sólo en Rusia. El beneficio del grupo es más probable mayor si tenemos en cuenta los otros países en los que apuntaban.

El Grupo IB-dice que infectaron más de un millón de dispositivos Android sólo en Rusia, estaban haciendo más de 3.500 nuevas víctimas por día y se utilizan más de 6.000 cuentas bancarias para lavar sus actuaciones.

El siguiente video contiene imágenes de los 20 allanamientos llevados a cabo por las autoridades rusas.

Fecha actualización el 2017-5-23. Fecha publicación el . Categoría: Hackers. Autor: Mapa del sitio Fuente: bleepingcomputer
creador del malware