Navigation
Les derniers articles
Suivez en direct

Les téléphones cloud contournent la sécurité des banques

Une main tenant un smartphone affichant une application de "Mobile Banking" sur un fond de ciel bleu nuageux, illustrant comment les téléphones cloud contournent la sécurité des banques.
Des chercheurs de Group-IB alertent sur des téléphones cloud Android virtuels capables d’imiter parfaitement un vrai smartphone pour tromper les systèmes de détection de fraude bancaire.

TL;DR : L’essentiel

  • Les téléphones cloud reproduisent fidèlement les identifiants matériels d’un appareil réel — modèle, IMEI, adresse IP, fuseau horaire, données de capteurs — rendant leur détection bien plus difficile que celle des émulateurs classiques.
  • Des comptes bancaires pré-vérifiés associés à une instance cloud, notamment chez Revolut et Wise, se négocient entre 50 et 200 dollars sur les marchés du darknet, accès à l’appareil virtuel inclus.
  • Les pertes liées aux fraudes par virement autorisé (APP fraud) au Royaume-Uni ont atteint 485 millions de livres sterling en 2023, les comptes « dropper » créés sur téléphones cloud étant identifiés comme le principal facteur contributif.
  • La location d’une instance de téléphone cloud revient à 0,10 à 0,50 dollar de l’heure sur les grandes plateformes, abaissant le coût d’entrée dans la fraude industrielle à un niveau accessible à quasiment n’importe quel acteur malveillant.

Les systèmes de détection de fraude bancaire reposent sur une hypothèse fondamentale : l’appareil depuis lequel un client se connecte est physiquement unique et difficilement falsifiable. Les téléphones cloud remettent en cause cette hypothèse. Selon Group-IB, ces appareils Android virtuels hébergés dans des centres de données présentent une firmware authentique, un comportement de capteurs plausible et des attestations matérielles valides — autant de signaux que les systèmes antifraude traditionnels interprètent comme légitimes.

Des fermes physiques aux services cloud : une évolution en trois étapes

L’histoire des téléphones cloud suit une trajectoire logique. Les premières fermes de téléphones étaient des racks d’appareils Android physiques, utilisés pour gonfler les métriques des réseaux sociaux — abonnés, mentions « j’aime », partages. Détectables mais coûteuses à déployer, elles ont cédé la place aux émulateurs, lesquels ont été rapidement identifiés par les plateformes grâce à leurs artefacts caractéristiques : processeur x86 sur un appareil censé être ARM, absence de données de capteurs, fichiers spécifiques aux environnements virtuels.

La troisième génération, apparue entre 2020 et 2023, adopte un modèle SaaS : pourquoi posséder une infrastructure quand on peut la louer ? Des plateformes de fraude proposent des instances Android à la demande, avec des configurations matérielles personnalisables, des adresses IP d’opérateurs mobiles réels et des identifiants uniques. Leurs arguments commerciaux ciblent officiellement les testeurs d’applications et les gestionnaires de comptes sur les réseaux sociaux, mais leurs fonctionnalités — clonage d’appareils, changement de géolocalisation, accès root, opérations en masse — répondent directement aux besoins des fraudeurs.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Comment les téléphones cloud s’attaquent aux systèmes bancaires

Face à la montée des attaques par prise de contrôle de compte, les banques ont renforcé leur modèle de sécurité en liant les comptes à des appareils spécifiques. Tout accès depuis un appareil non reconnu déclenche une authentification renforcée. Les téléphones cloud neutralisent ce mécanisme en maintenant une empreinte d’appareil stable et cohérente dans le temps, ce qui supprime les signaux d’alerte habituels.

Le schéma opérationnel documenté par Group-IB fonctionne en plusieurs temps. Un fraudeur crée ou achète un compte bancaire préalablement authentifié depuis une instance cloud — l’empreinte de l’appareil est ainsi « propre » aux yeux de la banque. La victime est ensuite ciblée par ingénierie sociale : un faux conseiller bancaire ou un faux agent gouvernemental la convainc de communiquer ses identifiants, d’approuver une connexion ou de valider un virement. Dans certains cas, les fraudeurs achètent directement les données bancaires de particuliers peu informés sans leur révéler l’usage qui en sera fait. Comme le détaille Malwarebytes, ces comptes « dropper » servent ensuite à recevoir et vider les fonds issus des arnaques APP avant d’être revendus sur les marchés souterrains.

Détecter ce que les empreintes matérielles ne révèlent plus

Les téléphones cloud ne laissent plus les traces qui trahissaient les émulateurs. Leur détection exige de remonter à des couches d’analyse plus profondes : corrélation entre l’adresse IP, le fuseau horaire et la localisation déclarée ; niveau de batterie constamment à 100 % ; absence totale de mouvement pendant des sessions actives ; densité anormalement élevée d’applications bancaires sur un même appareil ; présence d’outils d’anonymisation ou d’applications de gestion système absentes des stores officiels.

Group-IB indique que l’intégration de ces signaux dans un moteur de détection multicouche a permis une baisse significative des connexions frauduleuses quotidiennes chez ses clients en Asie centrale. En résumé : la vérification de l’authenticité d’un appareil ne suffit plus. Les modèles de risque doivent désormais intégrer la corrélation comportementale, l’analyse de comptes et la visibilité au niveau de l’infrastructure réseau pour identifier les clusters d’appareils partageant une origine commune.

Pour les équipes sécurité des établissements financiers, cet écosystème de location d’appareils virtuels signifie que le périmètre de confiance ne peut plus s’arrêter à l’identité de l’appareil : il doit englober l’ensemble du contexte dans lequel cet appareil opère.

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.