Управлением «К» МВД России при активном содействии Group-IB, международной компании, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, задержан
Анализируя «цифровые следы» совершенных краж специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющего роль «агрегатора» систем мобильного банкинга ведущих банков страны. В приложение можно было загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн услуги и покупки в интернет-магазинах. Приложение распространялось через спам-рассылки, на форумах и через официальный магазин GooglePlay. Впервые активность этой вредоносной программы была зафиксирована в 2016 году. Предположительно за «агрегатором» стояла группа злоумышленников.
Атакующие действовали следующим образом. Заинтересовавшись возможностями финансового агрегатора, клиенты банков скачивали приложение «Банки на ладони» и вводили данные своих карт. Запущенный троян отправлял данные банковских карт или логины\пароли для входа в интернет-банкинг на сервер злоумышленникам. После этого злоумышленник переводил деньги на заранее подготовленные банковские счета суммами от 12 до 30 тысяч рублей за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников — все SMS-подтверждения транзакций блокировались. В среднем, похищалось от 100 000 до 300 000 ежедневно, а к началу 2018 года суммы ущерба выросли до 500 000 рублей в день. Часть денег переводилась в криптовалюту для безопасного вывода денег и маскировки следов преступления.
В процессе расследования оперативники Управления «К» МВД России вышли на «заливщика», одного из участников преступной схемы, который непосредственно переводил деньги со счетов пользователей на карты злоумышленников. Им оказался ранее судимый по ст. 222 УК РФ (незаконный оборот оружия)