Un gruppo di hacker ha gestito una campagna fraudolenta globale che ha rubato milioni di dollari a banche negli Stati Uniti e in alcuni paesi europei. Secondo quanto riferito, gli hacker hanno utilizzato enormi farm di emulatori per accedere a migliaia di account compromessi utilizzando dispositivi mobili falsificati.
Sebbene gli esperti non considerino gli emulatori strumenti dannosi, gli hacker alla base di questo attacco hanno trovato un modo per utilizzarli per scopi dannosi, emulando i dispositivi compromessi per estenderne la portata. Gli hacker hanno utilizzato uno strumento in grado di fornire le specifiche a un database compromesso in incidenti precedenti, consentendo loro di abbinare ciascuno dei dispositivi emulati ai conti bancari degli utenti interessati.
Nel loro rapporto, gli esperti affermano che la farm dell’emulatore è stata in grado di falsificare la posizione GPS dei dispositivi compromessi utilizzando più servizi di rete privata virtuale (VPN) al fine di impedire ai team di sicurezza della banca di rilevare attività dannose.
Shachar Gritzman e Limor Kessem, esperti responsabili della ricerca, affermano che i criminali informatici hanno utilizzato più di 20 emulatori di aziende agricole per forgiare quasi 16.000 dispositivi: “Questi emulatori sono stati utilizzati per accedere ripetutamente a migliaia di conti bancari, consentendo il furto di milioni di dollari in una questione di giorni; gli hacker eseguono questa operazione, eliminano le tracce di attività dannose e preparano il loro prossimo attacco“, affermano gli esperti.
Gli operatori di questa campagna hanno mostrato risorse e modalità di funzionamento simili a quelle di altri gruppi sofisticati, come TrickBot o Evil Corp. Tra i suoi metodi per sequestrare gli account ci sono:
- Accesso ai nomi utente e alle password dei titolari di account
- Accesso agli identificatori del dispositivo raccolti tramite impegno di sicurezza mobile
- Possibilità di accedere al contenuto del messaggio SMS
- Utilizzo di un ambiente di automazione personalizzato progettato per applicazioni specifiche
Gli hacker sono anche riusciti a monitorare l’attività di alcuni conti bancari per verificare che nessuno nelle banche attaccate sapesse cosa stava succedendo.
Nel caso in cui la loro operazione venisse rilevata, i criminali informatici potrebbero interrompere qualsiasi lavoro in tempo reale senza lasciare traccia.
Gli esperti non escludono che l’operazione sia ancora attiva, sebbene sia davvero difficile stabilire se gli hacker stiano attualmente operando.
