Mobilne, Aktualności

Przestępcy wynajmują wirtualne numery telefoniczne, aby ominąć zabezpieczenia bankowe

autor: Pieter Arntz | 27 marca, 2026
telefon w chmurze z maską

Naukowcy z Group-IB ostrzegają przed przestępcami wykorzystującymi wirtualne Android do omijania nowoczesnych rozwiązań zabezpieczających.

Telefony w chmurze to wirtualne Android , które potrafią w pełni naśladować charakterystyczne cechy rzeczywistych urządzeń (model, sprzęt, adres IP, strefę czasową, dane z czujników, zachowanie). Dzięki temu są w stanie obejść systemy wykrywania oszustw oparte na identyfikacji urządzeń stosowane przez banki.

Pierwotnie farmy telefonów składały się z fizycznych urządzeń i były tworzone na potrzeby testów. Ich liczba wzrosła, gdy firmy odkryły, że mogą wynajmować wirtualne telefony i sztucznie podnosić wskaźniki aktywności, takie jak liczba obserwujących, polubień, udostępnień i tym podobne. Dalszy wzrost wynikał z przeniesienia infrastruktury z fizycznych farm telefonów do telefonów w chmurze.

W pewnym momencie cyberprzestępcy odkryli, jak wykorzystać te „telefony do wynajęcia”, aby nakłonić ludzi do udostępnienia im dostępu do kont bankowych i portfeli kryptowalutowych, które następnie zostały opróżnione.

Banki zorientowały się w tych taktykach i zaczęły tworzyć aplikacje mobilne wykorzystujące identyfikację urządzeń. Pomogło im to wykrywać i blokować fałszywe urządzenia przejmujące kontrolę nad kontami użytkowników.

Jednak, podobnie jak w przypadku każdego wyścigu zbrojeń, przestępcy znaleźli sposób, by to obejść. Obecnie „rozgrzewają” urządzenia, instalując aplikacje bankowe, rejestrując dane logowania i przeprowadzając niewielkie transakcje, dzięki czemu konta i dane telemetryczne urządzenia sprawiają wrażenie mało ryzykownych.

Naukowcy zauważają, że:

„Przeszli na telefony w chmurze – Android z dostępem zdalnym, działające w centrach danych. Pod każdym względem są to prawdziwe telefony, wyposażone w oryginalne oprogramowanie układowe, wykazujące naturalne zachowanie czujników i posiadające ważne poświadczenie sprzętowe”.

A dla przestępców nie jest to duża inwestycja. Największe platformy telefonii w chmurze oferują wynajem urządzeń już za 0,10–0,50 dolara za godzinę, dzięki czemu infrastruktura służąca do popełniania oszustw jest dostępna niemal dla każdego.

Jednym z obszarów, w którym wykorzystuje się te urządzenia, są gry mobilne oparte na ekonomii prawdziwych pieniędzy. Gry te od dawna borykają się z konkretnym problemem: nielegalnym gromadzeniem waluty i zasobów w grze przez boty. W wielu przypadkach zautomatyzowane konta mogą generować przedmioty w grze, które mają wartość w świecie rzeczywistym.

Banki borykają się z innym problemem: atakami typu „przejęcie konta” (ATO). Wraz z przeniesieniem usług bankowych z przeglądarek internetowych do aplikacji mobilnych banki potrzebowały bardziej niezawodnych i kompleksowych sposobów identyfikacji zaufanych urządzeń. Obecnie wiele banków wiąże konta z konkretnymi urządzeniami i blokuje przelewy, które nie pochodzą z tych urządzeń.

Początek ataku nadal opiera się na socjotechnice. Przestępcy próbują nakłonić użytkowników do podania jednorazowych haseł (OTP), zatwierdzenia logowania lub wykonania przelewu „na bezpieczne konto”.

W tle przestępca loguje się do instancji telefonu w chmurze, która w oczach banku ofiary wygląda już jak jej urządzenie – dzięki dopasowanym lub wiarygodnym sygnaturom oraz wcześniej zaprogramowanym zachowaniom.

Gdy przestępcy już uzyskają dostęp, realizują przelewy w ramach autoryzowanych płatności typu push (APP) (często na konta pośredników finansowych ), które systemy bankowe mogą uznać za niskiego ryzyka, ponieważ nic w działaniu urządzenia nie wydaje się budzić podejrzeń.

W tym momencie przestępcy mogą zacząć opróżniać Twoje konto lub sprzedawać wirtualne telefony innym przestępcom. Według naukowców:

„Na rynkach darknetu aktywnie handluje się wstępnie zweryfikowanymi kontami typu dropper utworzonymi na telefonach w chmurze, przy czym konta Revolut i Wise kosztują od 50 do 200 dolarów za sztukę i często obejmują stały dostęp do instancji telefonu w chmurze”.

Jak zachować bezpieczeństwo

Badacze z Group-IB zalecają użytkownikom końcowym, aby:

  • Nigdy nie przeprowadzaj procedur weryfikacji konta na polecenie osób trzecich. Pamiętaj, że banki i instytucje rządowe nie proszą klientów o uwierzytelnianie kont za pośrednictwem nieznanych aplikacji lub w środowiskach zdalnych.
  • Włącz funkcje zabezpieczeń na poziomie urządzenia. Korzystaj z oficjalnych aplikacji bankowości mobilnej, uwierzytelniania biometrycznego oraz silnych ustawień zabezpieczeń na poziomie urządzenia.
  • Należy zachować ostrożność w przypadku ofert „łatwego zarobku” związanych z kontami bankowymi. Należy uważać na fałszywe oferty pracy, w których wymagana jest „weryfikacja” kont bankowych, na urzędników państwowych proszących o weryfikację kont oraz na przedstawicieli banków proszących o przelanie pieniędzy na „bezpieczne” konta.
  • Jeśli podejrzewasz, że padłeś ofiarą ataku, natychmiast skontaktuj się ze swoim bankiem. Zmień hasła i włącz uwierzytelnianie wieloskładnikowe na wszystkich kontach.

Chcielibyśmy dodać:

  • W miarę możliwości włącz powiadomienia bankowe dotyczące logowań, zmian odbiorców płatności i transakcji, aby natychmiast dostrzegać nietypowe działania.
  • Zainstaluj na swoim urządzeniu Android aktualne oprogramowanie antywirusowe działające w czasie rzeczywistym, aby wykrywać i blokować programy kradnące dane.
  • Jeśli masz wątpliwości co do wiadomości, skorzystaj z funkcji Malwarebytes Guard. Pomoże Ci ona ustalić, czy jest to oszustwo, i podpowie, jak postąpić.

Nie tylko informujemy o bezpieczeństwie telefonów - my je zapewniamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia mobilne przed zagrożeniami, pobierając Malwarebytes dla iOS i Malwarebytes dla Android już dziś.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Aktualności
Zainfekowany wirusem trojańskim program Avast rozprzestrzenia oprogramowanie szpiegujące Venom Stealer

Fałszywa strona internetowa Avast symuluje skanowanie w poszukiwaniu wirusów, a zamiast tego instaluje program Venom Stealer

Marzec 27, 2026

Fałszywe skanowanie programu Avast informuje użytkownika, że komputer jest zainfekowany, a następnie instaluje złośliwe oprogramowanie, które kradnie hasła, dane sesji i portfele kryptowalutowe.

Aktualności
Logo Apple na tle łańcucha

Infiniti Stealer: nowy program do kradzieży danych w systemie macOS wykorzystujący ClickFix oraz Python/Nuitka

Marzec 26, 2026

Nowy program wykradający dane w systemie macOS, NukeChain (obecnie znany jako Infiniti Stealer), wykorzystuje fałszywe strony z kodami CAPTCHA, aby nakłonić użytkowników do uruchomienia złośliwych poleceń.

Aktualności
Zidentyfikowano GlassWorm

Atak typu GlassWorm polega na zainstalowaniu fałszywego rozszerzenia przeglądarki w celu prowadzenia inwigilacji

Marzec 26, 2026

Ukrywa się w narzędziach programistycznych, a następnie monitoruje aktywność i kradnie dane, zamieniając pojedyncze zainfekowanie w zagrożenie o szerszym zasięgu w całym łańcuchu dostaw.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa