黑客利用移动设备模拟器窃取网上银行数百万美元

IBM Trusteer的研究人员发现了一项大规模的欺诈行动，该操作利用移动设备模拟器网络在几天之内从网上银行帐户中窃取了数百万美元。

网络罪犯使用了大约20个移动设备模拟器来模仿超过16,000名手机银行帐户已被盗用的客户的电话。

根据专家的说法，这是有史以来规模最大的银行欺诈行动之一，黑客成功地从欧美金融机构窃取了数百万美元。

专家还报告说，在一个单独的案例中，网络犯罪分子利用单个模拟器欺骗了8,173台设备。

“这是一个专业且有组织的团伙所为，该团伙使用移动设备模拟器的基础结构来设置成千上万的欺骗性设备，这些设备访问了成千上万的受感染帐户。” 阅读研究人员发表的报告。“在每种情况下，都使用一组移动设备标识符来欺骗实际帐户持有者的设备，这些设备以前可能是被恶意软件感染或通过网络钓鱼页面收集的。”

威胁参与者使用移动恶意软件僵尸网络或抓取网络钓鱼日志获取了在线银行帐户的登录凭据，然后使用它们来最终完成欺诈性交易。

威胁参与者将用户名和密码输入到在模拟器上运行的银行应用程序中，然后进行欺诈性交易。

骗子利用模拟器绕过银行实施的安全措施来检测欺诈性交易。他们使用与每个被攻破的账户持有者相对应的设备标识符，以及之前与该设备相关联的欺骗GPS位置。攻击者从受感染的设备获取设备ID后，还可以通过访问SMS消息绕过多因素身份验证。

黑客开发了一个应用程序，用于向模拟器提供设备规格，这些规格可以从受感染设备日志的数据库中自动获取，从而为模拟器提供所有参数（例如品牌，操作系统版本，IMEI和引导程序）的速度和准确性。

此外，自动化将设备与账户持有人的用户名和密码进行匹配，以访问他们的银行账户。继续分析。

“当受损设备在特定国家/地区运行时，模拟器会欺骗GPS位置。从那里，它通过匹配的虚拟专用网络（VPN）服务连接到该帐户。攻击者混合使用了可公开获得的合法工具（主要用于测试）和可能为该操作创建的定制应用程序。”

骗子设法自动完成了访问帐户，启动交易，捕获通过SMS发送的OTP代码，完成非法交易的过程。

IBM的研究人员指出，骗子会淘汰成功交易中涉及的欺骗设备，并用一台新设备取而代之。当被银行使用的反欺诈系统拒绝时，攻击者还会循环使用设备。

该欺诈操作背后的威胁者拦截了欺骗设备与银行应用服务器之间的通信，以实时监控操作进度。

“它背后的人很可能是一个有组织的团队，可以接触熟练的移动恶意软件技术开发人员以及精通欺诈和洗钱活动的人员。这些类型的特征对于桌面恶意软件领域的帮派来说是典型的，例如那些操作TrickBot的帮派或称为Evil Corp的帮派。” IBM Trusteer总结道。

“在随后使用相同策略进行的攻击中，当攻击者明显地修复了过去攻击中时，我们能够看到进化和吸取的教训。这表明正在进行的行动ccccccccccccccc正在完善移动银行欺诈流程。”