黑客利用移動設備模擬器竊取網上銀行數百萬美元

IBM Trusteer的研究人員發現了一項大規模的欺詐行動，該操作利用移動設備模擬器網絡在幾天之內從網上銀行帳戶中竊取了數百萬美元。

網絡罪犯使用了大約20個移動設備模擬器來模仿超過16,000名手機銀行帳戶已被盜用的客戶的電話。

根據專家的說法，這是有史以來規模最大的銀行欺詐行動之一，黑客成功地從歐美金融機構竊取了數百萬美元。

專家還報告說，在一個單獨的案例中，網絡犯罪分子利用單個模擬器欺騙了8,173臺設備。

“這是一個專業且有組織的團伙所為，該團伙使用移動設備模擬器的基礎結構來設置成千上萬的欺騙性設備，這些設備訪問了成千上萬的受感染帳戶。” 閱讀研究人員發表的報告。“在每種情況下，都使用一組移動設備標識符來欺騙實際帳戶持有者的設備，這些設備以前可能是被惡意軟件感染或通過網絡釣魚頁面收集的。”

威脅參與者使用移動惡意軟件僵尸網絡或抓取網絡釣魚日志獲取了在線銀行帳戶的登錄憑據，然后使用它們來最終完成欺詐性交易。

威脅參與者將用戶名和密碼輸入到在模擬器上運行的銀行應用程序中，然后進行欺詐性交易。

騙子利用模擬器繞過銀行實施的安全措施來檢測欺詐性交易。他們使用與每個被攻破的賬戶持有者相對應的設備標識符，以及之前與該設備相關聯的欺騙GPS位置。攻擊者從受感染的設備獲取設備ID后，還可以通過訪問SMS消息繞過多因素身份驗證。

黑客開發了一個應用程序，用于向模擬器提供設備規格，這些規格可以從受感染設備日志的數據庫中自動獲取，從而為模擬器提供所有參數（例如品牌，操作系統版本，IMEI和引導程序）的速度和準確性。

此外，自動化將設備與賬戶持有人的用戶名和密碼進行匹配，以訪問他們的銀行賬戶。繼續分析。

“當受損設備在特定國家/地區運行時，模擬器會欺騙GPS位置。從那里，它通過匹配的虛擬專用網絡（VPN）服務連接到該帳戶。攻擊者混合使用了可公開獲得的合法工具（主要用于測試）和可能為該操作創建的定制應用程序。”

騙子設法自動完成了訪問帳戶，啟動交易，捕獲通過SMS發送的OTP代碼，完成非法交易的過程。

IBM的研究人員指出，騙子會淘汰成功交易中涉及的欺騙設備，并用一臺新設備取而代之。當被銀行使用的反欺詐系統拒絕時，攻擊者還會循環使用設備。

該欺詐操作背后的威脅者攔截了欺騙設備與銀行應用服務器之間的通信，以實時監控操作進度。

“它背后的人很可能是一個有組織的團隊，可以接觸熟練的移動惡意軟件技術開發人員以及精通欺詐和洗錢活動的人員。這些類型的特征對于桌面惡意軟件領域的幫派來說是典型的，例如那些操作TrickBot的幫派或稱為Evil Corp的幫派。” IBM Trusteer總結道。

“在隨后使用相同策略進行的攻擊中，當攻擊者明顯地修復了過去攻擊中時，我們能夠看到進化和吸取的教訓。這表明正在進行的行動ccccccccccccccc正在完善移動銀行欺詐流程。”