Tin tặc đã sử dụng khoảng 20 trình giả lập để bắt chước hơn 16.000 điện thoại của những khách hàng có tài khoản ngân hàng di động bị xâm nhập. Trong một trường hợp riêng biệt, một trình giả lập duy nhất có thể giả mạo hơn 8.100 thiết bị, như thể hiện trong hình ảnh sau:

Sau đó, tin tặc nhập tên người dùng và mật khẩu vào các ứng dụng ngân hàng chạy trên trình giả lập đó và khởi tạo các lệnh chuyển tiền gian lận lấy tiền từ các tài khoản bị xâm nhập. Trình giả lập được các nhà phát triển và nhà nghiên cứu hợp pháp sử dụng để kiểm tra cách ứng dụng chạy trên nhiều loại thiết bị di động khác nhau.

Để vượt qua các biện pháp bảo vệ mà các ngân hàng sử dụng để chặn các cuộc tấn công, tin tặc đã sử dụng số nhận dạng thiết bị tương ứng với từng chủ tài khoản bị xâm phạm và các vị trí GPS giả mạo mà thiết bị được biết là sử dụng. ID thiết bị có thể được lấy từ các thiết bị bị tấn công của chủ sở hữu, mặc dù trong một số trường hợp, những kẻ lừa đảo giả vờ là khách hàng đang truy cập tài khoản của họ từ điện thoại mới. Những kẻ tấn công cũng có thể vượt qua xác thực đa yếu tố bằng cách truy cập tin nhắn SMS.

“Hoạt động gian lận trên thiết bị di động này được quản lý để tự động hóa quá trình truy cập tài khoản, bắt đầu giao dịch, nhận và đánh cắp yếu tố xác thực bằng SMS. Trong nhiều trường hợp, các mã đó được sử dụng để hoàn thành các giao dịch bất hợp pháp,” Shachar Gritzman, nhà nghiên cứu của IBM Trusteer và Limor Kessem chia sẻ.

“Các nguồn dữ liệu, tập lệnh và các ứng dụng tùy chỉnh mà băng nhóm này tạo ra được lưu chuyển trong một quy trình tự động với tốc độ cho phép chúng có thể cướp hàng triệu USD từ mỗi ngân hàng trong vòng vài ngày”.

Mỗi khi tin tặc lấy sạch tiền từ một tài khoản, chúng sẽ gỡ bỏ thiết bị giả mạo đã truy cập vào tài khoản và thay thế nó bằng một thiết bị mới. Tin tặc cũng thay đổi thiết bị trong trường hợp chúng bị hệ thống chống gian lận của ngân hàng từ chối. IBM Trusteer đã có bằng chứng về việc tin tặc khởi động một cuộc tấn công riêng biệt, sau khi kết thúc, tin tặc sẽ tắt hoạt động, xóa sạch dấu vết dữ liệu và bắt đầu một hoạt động mới.

Các nhà nghiên cứu cho rằng, các tài khoản ngân hàng đã bị xâm nhập bằng cách sử dụng phần mềm độc hại hoặc các cuộc tấn công lừa đảo. Báo cáo của IBM Trusteer không giải thích cách kẻ gian lấy cắp tin nhắn SMS và ID thiết bị. Các ngân hàng bị tấn công taaph trung ở khu vực châu Âu và Mỹ.

Để theo dõi tiến trình hoạt động trong thời gian thực, tin tặc đã chặn liên lạc giữa các thiết bị giả mạo và máy chủ ứng dụng của ngân hàng. Chúng cũng sử dụng nhật ký, ảnh chụp màn hình để theo dõi hoạt động theo thời gian và cũng cải tiến các kỹ thuật tấn công từ những sai lầm trước đó.

Vụ việc này một lần nữa cho thấy tầm quan trọng của việc nâng cao cảnh giác, dùng mật khẩu mạnh, phát hiện các thủ đoạn lừa đảo, sử dụng các biện pháp xác thực mạnh và thường xuyên kiểm tra các giao dịch có dấu hiện gian lận từ cả hai phía: các ngân hàng và khách hàng của họ.