Una nuova truffa bancaria: emulatori di smartphone per svuotare i conti

I ricercatori di sicurezza di IBM Trusteer hanno scoperto una truffa basata sull'impiego di emulatori di dispositivi mobile messi in rete tra loro allo scopo di assorbire milioni di dollari da conti bancari in pochi giorni. Gli emulatori sono strumenti di norma usati dagli sviluppatori e dai ricercatori di sicurezza per mettere alla prova le app per smartphone e verificare il loro comportamento su dispositivi diversi che vengono, appunto, emulati.

Si tratta di un'operazione con una portata senza precedenenti: in un caso la mano dietro a questa operazione ha usato circa 20 emulatori per impersonare oltre 16 mila telefoni appartenenti ad altrettanti individui i cui conti bancari sono stati compromessi. In un'altra situazione un solo emulatore è stato capace di falsificare oltre 8100 dispositivi. I criminali hanno inserito nomi utente e password nelle app bancarie in esecuzione sugli emulatori e hanno disposto operazioni per sottrarre fondi dai conti compromessi. Gli istituti bancari presi di mira si trovano negli USA e in Europa.

Smartphone emulati e conti svuotati: la truffa in USA e in Europa

Per riuscire ad aggirare le protezioni che gli istituti bancari mettono in atto proprio allo scopo di proteggersi da questo genere di attacchi, i criminali hanno utilizzato codici identificativi dei dispositivi corrispondenti a ciascun titolare di conto, assieme a coordinate GPS contraffatte che ricalcassero quelle frequentemente utilizzate dal dispositivo compromesso. I criminali sono stati in grado di aggirare anche l'autenticazione a due fattori accedendo agli SMS. Secondo i ricercatori di IBM Trusteer le credenziali di accesso ai conti bancari con cui poi effettuare le transazioni illecite con i dispositivi emulati, sono state ottenuto sfruttando malware o tramite attacchi phishing.

Non è però del tutto chiaro come sia stato possibile riuscire a risalire agli identificativi dei dispositivi e a intercettare i messaggi SMS. "Questa operazione di frode ha permesso di automatizzare l'accesso agli account, avviare transazioni, ricevere e compromettere un secondo fattore di autenticazione e usare questi codici per completare transazioni illecite. Le fonti di dati, gli script e le applicazioni personalizzate create dai criminali convergevano in un processo automatizzato ad alta velocità che consentiva loro di sottrarre milioni di dollari a ciascun istituto bancario nel giro di pochi giorni" scrivono i ricercatori.

Ogni volta che i criminali riuscivano ad effettuare un'operazione, sostituivano il dispositivo emulato con uno nuovo. I criminali hanno inoltre verificato periodicamente i dispositivi emulati per verificare se fossero stati rifiutati dal sistema antifrode di un istituto bancario, così da sostituirli con nuovi dispositivi emulati.