L’équipe de recherche affirme que les pirates ont utilisé une infrastructure d’émulateurs d’appareils mobiles pour configurer des milliers d’appareils usurpés qui ont accédé à des milliers de comptes compromis.

Dans chaque cas, un ensemble d’identifiants d’appareil mobile a été utilisé pour usurper l’appareil d’un titulaire de compte réel, probablement ceux qui étaient auparavant infectés par des logiciels malveillants ou collectés via des pages de phishing.

En utilisant l’automatisation, la création de scripts et potentiellement l’accès à un botnet de malware mobile ou à des journaux de phishing, les attaquants, qui disposent du nom d’utilisateur et du mot de passe de la victime, lancent et finalisent des transactions frauduleuses à grande échelle. Dans ce processus automatique, ils sont probablement capables de scénariser l’évaluation des soldes des comptes des utilisateurs compromis et d’automatiser un grand nombre de transferts d’argent frauduleux en veillant à les maintenir sous des montants qui déclenchent un examen plus approfondi par la banque.

Un émulateur peut imiter les caractéristiques d’une variété d’appareils mobiles sans avoir besoin de les acheter et est généralement utilisé par les développeurs pour tester des applications et des fonctionnalités sur un large éventail de types d’appareils.

IBM Trusteer affirme que l’ampleur de l’opération est celle qui n’a jamais été vue auparavant, dans certains cas, plus de 20 émulateurs ont été utilisés dans l’usurpation de plus de 16 000 périphériques compromis.

Selon l’entreprise: « Les attaquants utilisent ces émulateurs pour accéder à plusieurs reprises à des milliers de comptes clients et finissent par voler des millions de dollars en quelques jours dans chaque cas. Après une frénésie, les attaquants ont arrêté l’opération, effacé les traces, et préparez-vous pour la prochaine attaque. « 

Lors d’attaques ultérieures utilisant les mêmes tactiques, IBM Trusteer a pu voir l’évolution et les leçons apprises lorsque les attaquants ont clairement corrigé les erreurs des attaques passées.

L’équipe de renseignement d’IBM Trusteer a également observé une offre tendance de fraude en tant que service dans les lieux souterrains qui promet l’accès au même type d’opération à quiconque est prêt à payer pour cela, avec ou sans les compétences requises.

« Cela abaisse la barre d’entrée pour les criminels potentiels ou ceux qui envisagent de passer au domaine de la fraude mobile », explique l’unité de recherche. « Cela signifie également que ce système d’automatisation à grande échelle peut être adapté à presque toutes les institutions financières dans une variété de pays et de territoires et est susceptible de devenir une tendance croissante parmi les cybercriminels. »