Experții au descoperit o operațiune de fraudă masivă care a folosit o rețea de emulatoare de dispozitive mobile pentru a fura milioane de dolari din conturi bancare online.

Cercetătorii de la IBM Trusteer au descoperit o operațiune de fraudă masivă care a folosit o rețea de emulatoare de dispozitive mobile pentru a fura milioane de dolari din conturile bancare online în câteva zile. Infractorii cibernetici au folosit aproximativ 20 de emulatoare de dispozitive mobile pentru a imita telefonul a peste 16.000 de clienți ale căror conturi bancare mobile au fost compromise.

Potrivit experților, aceasta este una dintre cele mai mari operațiuni de fraudă bancară văzute vreodată, hackerii au reușit să fure milioane de dolari de la instituțiile financiare din Europa și SUA.

Experții au raportat, de asemenea, că într-un caz unic și separat, criminalii cibernetici au falsificat 8.173 de dispozitive cu un singur emulator.

„Aceasta este opera unei bande profesionale și organizate care folosește o infrastructură de emulatoare de dispozitive mobile pentru a configura mii de dispozitive falsificate care au accesat mii de conturi compromise,” menționează raportul publicat de cercetători. „În fiecare caz, un set de identificatori de dispozitive mobile a fost folosit pentru a falsifica dispozitivul proprietarului unui cont real, probabil cele care au fost infectate anterior de malware sau colectate prin intermediul paginilor de phishing.”

Actorii rău-intenționați au obținut credențiale de conectare pentru conturile bancare online folosind un botnet mobil malware sau analizând loguri, apoi le-au folosit pentru a finaliza tranzacțiile frauduloase pe scară largă. Hackerii au introdus nume de utilizator și parole în aplicațiile bancare care rulează pe emulatoare și apoi au făcut tranzacții frauduloase.

Escrocii au folosit emulatoarele pentru a ocoli măsurile de securitate implementate de bănci în scopul de a detecta tranzacții frauduloase. Au folosit identificatori de dispozitiv care corespund fiecărui titular de cont compromis și locații GPS falsificate asociate anterior dispozitivului. Atacatorii au obținut ID-urile dispozitivelor de pe echipamentele infectate și au reușit să ocolească autentificarea multi-factor prin accesarea mesajelor SMS.

Hackerii au dezvoltat o aplicație pentru alimentarea emulatoarelor cu specificații ale dispozitivului, care au fost preluate automat dintr-o bază de date cu jurnalele de dispozitive compromise, oferind emulatorului viteza și precizia tuturor parametrilor (adică marca, versiunea sistemului de operare, IMEI și bootloader).

„În plus, automatizarea a asociat dispozitivul cu numele de utilizator și parola titularului de cont pentru accesul la contul lor bancar,” continuă analiza. „Când un dispozitiv compromis a funcționat dintr-o anumită țară, emulatorul a falsificat locația GPS. De acolo, s-a conectat la cont printr-un serviciu de rețea privată virtuală (VPN). Atacatorii au folosit un amestec de instrumente legitime disponibile public (utilizate mai ales la testare) și aplicații personalizate create probabil pentru operațiune.”

Escrocii au reușit să automatizeze procesul de accesare a conturilor, începerea tranzacției, captarea codului OTP trimis prin SMS și să finalizeze tranzacțiilor ilicite.

Cercetătorii IBM au subliniat că escrocii retrag dispozitivul falsificat care a fost implicat într-o tranzacție încheiată cu succes și îl înlocuiesc cu un dispozitiv nou. Atacatorii au folosit prin rotație dispozitive atunci când au fost respinși de sistemele antifraudă utilizate de bănci.

Persoanele rău-intenționate din spatele acestei operațiuni de fraudă au interceptat comunicațiile între dispozitivele falsificate și serverele de aplicații ale băncilor pentru a monitoriza progresul operațiunilor în timp real.

„Este probabil ca cei din spatele acestuia să fie un grup organizat cu acces la dezvoltatori tehnici calificați de programe malware mobile și la cei care sunt recunoscuți pentru fraudă și spălare de bani. Aceste tipuri de caracteristici sunt tipice pentru bandele din cele care utilizează malware de desktop, precum cele care operează TrickBot sau banda cunoscută sub numele de Evil Corp.,” conchide IBM Trusteer. „În atacurile ulterioare în care au folosit aceleași tactici, am putut vedea evoluția și lecțiile învățate atunci când atacatorii au remediat în mod evident erori din atacurile anterioare. Acest lucru indică o operațiune în curs de desfășurare care perfecționează procesul de fraudă bancară mobilă.”

Sursa: SecurityAffairs.co