IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des cybercriminels utilisent des fermes d'émulateurs mobiles pour voler des millions de dollars à des banques en Europe et aux USA
Avec un niveau de sophistication très élevé

Le , par Stéphane le calme
3 commentaires

164PARTAGES

14  0 
L'équipe de recherche sur la sécurité mobile d'IBM Security Trusteer a récemment découvert une opération majeure de fraude bancaire mobile durant laquelle des millions de dollars ont été volés à des institutions financières en Europe et aux États-Unis avant que chaque attaque ne soit interceptée et stoppée.

Les chercheurs attribuent cette opération à des cybercriminels professionnels et organisés qui utilisent une infrastructure d'émulateurs d'appareils mobiles pour configurer des milliers d'appareils usurpés après avoir eu accès à des milliers de comptes compromis. Dans chaque cas, un ensemble d'identifiants d'appareil mobile a été utilisé pour usurper l'appareil d'un titulaire de compte réel, probablement ceux qui étaient auparavant infectés par des logiciels malveillants ou dont les informations d'identification ont été collectées via des pages de phishing. En utilisant l'automatisation, la création de scripts et potentiellement l'accès à un botnet de malware mobile ou à des journaux de phishing, les attaquants, qui disposent du nom d'utilisateur et du mot de passe de la victime, lancent et finalisent des transactions frauduleuses à grande échelle. Dans ce processus automatique, ils sont probablement capables de scénariser l'évaluation des soldes des comptes des utilisateurs compromis et d'automatiser un grand nombre de transferts d'argent frauduleux en veillant à les maintenir sous des montants qui déclenchent un examen plus approfondi par la banque.

L'ampleur de cette opération n'a jamais été vue auparavant, dans certains cas, plus de 20 émulateurs ont été utilisés dans l'usurpation de plus de 16 000 appareils compromis. Les attaquants ont utilisé ces émulateurs pour accéder à plusieurs reprises à des milliers de comptes clients et ont fini par voler des millions de dollars en quelques jours dans chaque cas. Après avoir répété l'action sur une série de comptes, les attaquants mettent fin à l'opération, effacent leurs traces et se préparent pour la série suivante.

Compte tenu de la taille et de l'ampleur de cette attaque, IBM a tenu à communiquer des détails au public pour le sensibiliser de toute urgence quant à la sophistication de la campagne et pour aider les institutions financières à se préparer à d'éventuelles attaques similaires contre leur clientèle.

Un réseau d'émulateurs mobiles

Les émulateurs mobiles sont des logiciels intrinsèquement légitimes utilisés pour les besoins de virtualisation. Un émulateur peut imiter les caractéristiques d'une variété d'appareils mobiles sans qu'un individu n'ait besoin de les acheter et est généralement utilisé par les développeurs pour tester des applications et des fonctionnalités sur un large éventail de types d'appareils. Dans ce cas, ils ont été exploités lors d'une attaque et utilisés à des fins malveillantes pour usurper des appareils mobiles compromis.

Il est à noter que les attaques par émulateur qu'IBM a analysées ont le potentiel de fonctionner sur n'importe quelle application offrant un accès en ligne aux clients, en particulier aux institutions financières, partout dans le monde. Ceci est applicable même lorsque les transactions sont approuvées avec un code envoyé par SMS, et potentiellement aussi des appels vocaux ou un message électronique.

L'examen de l'infrastructure globale ou de l'anatomie des attaques montre que les attaquants ont basé leurs plans sur quelques composants majeurs:
  • Accès aux noms d'utilisateur et mots de passe des titulaires de compte.
  • Accès aux identifiants d'appareils et aux données susceptibles d'être collectées via des appareils mobiles compromis.
  • Une certaine capacité à obtenir le contenu des messages SMS.
  • Un environnement d'automatisation personnalisé adapté aux applications ciblées et au flux logique des événements pour approuver les transactions.
  • Un ensemble d'émulateurs mobiles virtuels, des dizaines dans chaque cas, pour amplifier la capacité d'usurper un plus grand nombre d'appareils et d'en parcourir de nouveaux rapidement et à grande échelle.
  • Scripts d'interception de réseau personnalisés communiquant avec l'API de l'application ciblée. Ces interceptions ont à la fois soumis des transactions et également surveillé les communications pour s'assurer que la fraude n'était pas détectée.


Anatomie de la prise de contrôle de compte mobile à grande échelle

Masquer un émulateur mobile à la vue de tous

Dans le réseau monté pour émuler des périphériques, chaque émulateur a été configuré avec soin pour apparaître exactement comme un périphérique réel du référentiel auquel les attaquants ont accédé, ou comme un « nouveau » périphérique aléatoire. Pour s'assurer que le camouflage de l'émulation était un succès, les attaquants ont exécuté des tests et consulté les paramètres de l'appareil en utilisant une variété d'applications légitimes téléchargées depuis les magasins officiels.

Pour l'étape suivante, fournir aux émulateurs les spécifications des appareils, les attaquants ont utilisé une application qu'ils ont développée à cet effet. Via l'application personnalisée, pendant le fonctionnement réel, les caractéristiques de l'appareil et les spécifications techniques ont été automatiquement et rapidement récupérées à partir d'une base de données de journaux de périphériques compromis, fournissant la vitesse et la précision de tous les paramètres à l'émulateur, tels que la marque, la version du système d'exploitation, l'IMEI, le boatloader et plus encore.

En outre, l’automatisation a mis l’appareil en correspondance avec le nom d’utilisateur et le mot de passe du titulaire du compte pour accéder à son compte bancaire.


Extrait de code de l'application propriétaire de l'attaquant qui automatise les spécifications de l'émulateur

Lorsqu'un appareil compromis fonctionnait à partir d'un pays spécifique, l'émulateur a usurpé l'emplacement GPS. De là, il s'est connecté au compte via un service de réseau privé virtuel (VPN) correspondant. Les attaquants ont utilisé un mélange d'outils légitimes disponibles publiquement (utilisés principalement dans les tests) et d'applications personnalisées probablement créées pour l'opération.

Parcourir les appareils infectés

Chaque fois que le système a utilisé un appareil lors d'un transfert frauduleux réussi, il était « recyclé » et remplacé par un autre appareil inutilisé. La même chose s'est produite lorsqu'un appareil a été bloqué par l'institution financière. Dans la plupart des cas, les attaquants ont utilisé des identifiants d'appareils existants. Cependant, dans certains cas, ils ont créé un appareil aléatoire pour apparaître comme si un client utilisait un nouvel appareil pour accéder à son compte.

Dans l'image ci-dessous se trouvent des tranches de données créées à partir d'un seul émulateur parmi les nombreux qui ont été observés par les chercheurs. Les attaquants ont utilisé cet émulateur pour usurper plus de 8000 appareils et obtenir un accès illégal à des milliers de comptes.


Données d'un émulateur utilisées dans l'opération de fraude pour accéder à plusieurs reprises aux comptes

Un terrain d'essai d'émulateur mobile pour les attaques personnalisées

Pour s'assurer que le framework d'émulation et d'automatisation fonctionnait comme prévu, les attaquants ont créé une autre application personnalisée pour imiter l'application ciblée qu'ils souhaitaient duper. En les créant comme un environnement de formation, ils ont pu tester et affiner les scripts et les actions prises par leurs outils dans différentes situations. Ce n'est qu'après avoir perfectionné le flux qu'ils ont ciblé les comptes clients via les applications bancaires mobiles des banques qu'ils ont attaquées.

Fraude en temps réel

Cette opération de fraude mobile a réussi à automatiser le processus d'accès aux comptes, de lancement d'une transaction, de réception et de vol d'un deuxième facteur (SMS dans ce cas) et dans de nombreux cas à utiliser ces codes pour effectuer des transactions illicites. Les sources de données, les scripts et les applications personnalisées créés par le gang se sont déroulés dans un processus automatisé qui leur a permis de voler des millions de dollars à chaque banque victime en quelques jours.

La surveillance des transactions

Pour surveiller le flux des tentatives d'accès frauduleuses aux comptes d'utilisateurs et recevoir des informations en temps réel sur tout ce qui ne se passe pas comme prévu, les attaquants ont utilisé des techniques afin d'écouter et intercepter les communications avec les serveurs d'applications ciblés pendant les tentatives de fraude. Les journaux des sessions frauduleuses ont été enregistrés et envoyés au serveur distant des attaquants, parallèlement aux captures d'écran de l'application ciblée.

Les attaquants ont suivi de près la réaction de l'application ciblée aux tentatives de connexion des appareils émulés, ce qui les a aidés à s'assurer que tout fonctionnait. De plus, cela leur a permis de modifier les tactiques à la volée et leur a donné des signes avant-coureurs en cas de problème. Dans le cas d'un panneau d'avertissement, ils pourraient interrompre l'opération et effacer leurs traces.

L'analyse d'IBM

« Après avoir répondu à cette attaque massive, les chercheurs de Trusteer ont découvert que la robustesse et la sophistication de l’environnement d’automatisation de l’opération n’étaient pas monnaie courante dans le domaine de la cybercriminalité. Il est probable que ceux qui en sont à l'origine soient un groupe organisé ayant accès à des développeurs techniques qualifiés de logiciels malveillants mobiles et à des personnes versées dans la fraude et le blanchiment d'argent. Ces types de caractéristiques sont typiques des gangs opérant sur desktop tels que ceux qui exploitent TrickBot ou le gang connu sous le nom d'Evil Corp.

« Lors d'attaques ultérieures utilisant les mêmes tactiques, nous avons pu voir l'évolution et les leçons apprises lorsque les attaquants ont manifestement corrigé des erreurs d'attaques passées. Cela indique une opération en cours qui perfectionne le processus de fraude bancaire mobile.

« De plus, notre équipe de renseignement a observé une offre tendance à la hausse du fraud-as-a-service dans le darknet qui promet l'accès au même type d'opération à quiconque est prêt à payer, avec ou sans les compétences requises. Cela abaisse la barre d'entrée pour les criminels potentiels ou ceux qui prévoient de faire la transition vers le domaine de la fraude mobile. Cela signifie également que ce système d'automatisation à grande échelle peut être adapté à presque toutes les institutions financières dans divers pays et territoires et est susceptible de devenir une tendance croissante parmi les cybercriminels ».

Source : IBM

Une erreur dans cette actualité ? Signalez-nous-la !

3 commentaires
Commenter Signaler un problème
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 18/12/2020 à 13:19
Ma banque me propose un système génial de double authentification forte sécurisée par son appli, sans SMS. Sauf que comme vu dans cet article, comme l'appli sert à faire les virements, ça s'appelle plutôt une authentification faible par mot de passe simple...

Vu leur attaque, je suppose que le seul moyen de s'y opposer reste les authentifieurs physiques, mais ça coûte plus cher.
2  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 30/12/2020 à 13:44
Citation Envoyé par jean12 Voir le message
Pour ma part, je trouve toujours l'authentification multi-facteurs très sécurisée, relativement au simple mot de passe.
Ça dépend du 2nd système d'authentification. Si c'est un simple code via SMS, c'est beaucoup moins sécurisé que le fait d'utiliser un code généré qui change toutes les minutes, ou ce genre de choses.

Seulement que c'est dommage que des professionnels de haut niveau se soient mêlés à la danse des cybercriminels.
Je ne comprends pas bien ce que tu veux dire. Les cybercriminels impliqués ici, ou au moins une bonne partie d'entre eux, sont des professionnels de haut niveau, simplement ils utilisent leurs compétences à des fins illégales.

Nous espérons que des mesures seront prises pour distinguer clairement les émulateurs des appareils physiques afin d'éradiquer ce type d'attaques.
Bien sûr il y aura des mesures. Puis les attaquants trouveront de nouveaux moyens de passer outre, ce qui amènera de nouvelles mesures, et ainsi de suite. Le gendarme et le voleur, c'est un jeu infini, qui dure depuis très longtemps.

En 2021 Microsoft envisage de supprimer pour de vrai les mots de passe, nous espérons aussi que leurs solutions permettront de mettre hors d'état de nuire ces cybercriminels.
Ça fait des années que des gens parlent de supprimer les mots de passe, et à ma connaissance il n'existe pas de solution simple, efficace, et respectant la vie privée des utilisateurs. Donc je doute sincèrement que ce soit pour tout de suite.

Offrir des service sécurisés est possible, mais encore faut-il que les acteurs le veuillent, ce qui n'est pas le cas actuellement -- même pas au niveau des banques, qui pourtant n'arrêtent pas de dire que si, tout est sécurisé.
Le PIN d'une carte bancaire sur 4 chiffres qu'il est impossible de changer ? Volonté des banques, car dans d'autres pays il est possible de changer le PIN et de le mettre sur 4, 5 ou 6 chiffres -- même opérateurs de carte (VISA et Mastercard en l'occurence)
Le paiement en ligne demandant systématiquement une authentification multi-facteurs ? c'est proposé par toutes les banques, mais c'est au bon vouloir de la boutique, ce qui est une hérésie complète.
Le paiement sans contact ? Les failles sont connues depuis des années, il y en a de nouvelles régulièrement, et pourtant personne ne change rien. Ah si, les banques limitent le montant à 50 euro pour éviter les principales arnaques, mais les dernières attaques montrent qu'il est possible (dans certains cas bien sûr) de passer outre.
Et ainsi de suite.
2  0 
jean12
Avatar de jean12
Membre régulier https://www.developpez.com
Le 28/12/2020 à 12:52
Pour ma part, je trouve toujours l'authentification multi-facteurs très sécurisée, relativement au simple mot de passe. Il faudrait certainement changer de temps en temps les mots de passe de configuration du multi-facteurs. Seulement que c'est dommage que des professionnels de haut niveau se soient mêlés à la danse des cybercriminels. Nous espérons que des mesures seront prises pour distinguer clairement les émulateurs des appareils physiques afin d'éradiquer ce type d'attaques. En 2021 Microsoft envisage de supprimer pour de vrai les mots de passe, nous espérons aussi que leurs solutions permettront de mettre hors d'état de nuire ces cybercriminels.
1  1