Una base de datos MongoDB abierta expone una operación de lavado de dinero con los juegos móviles

Una base de datos MongoDB abierta expone una operación de lavado de dinero con los juegos móviles

El Departamento de Justicia de Estados Unidos, Apple y el fabricante de videojuegos Supercell, han sido advertidos de una red de lavado de dinero que usa cuentas falsas de Apple y perfiles de juego para realizar transacciones con tarjetas de crédito/débito robadas y luego las vende en sitios web para obtener dinero.

Esta operación salió a la luz a mediados de junio cuando los investigadores de seguridad de Kromtech Security se encontraron con una base de datos MongoDB que había quedado expuesta en línea sin autenticación.

"Al examinar la base de datos, rápidamente nos dimos cuenta de que esta no era su base de datos corporativa ordinaria", dijo el investigador de Kromtech, Bob Diachenko.

"Esta base de datos parecía pertenecer a ladrones de tarjetas de crédito (comúnmente conocidos como carders) y era relativamente nueva, solo tenía unos meses de antigüedad", agregó.

Diachenko dice que el grupo estaba usando una herramienta especial para crear cuentas de iOS usando cuentas de correo electrónico válidas, y luego estaba agregando los detalles de una tarjeta de pago robada a una de estas nuevas cuentas de iOS.

Luego, el grupo ejecutó otra herramienta automatizada en dispositivos iOS con jailbreak para instalar varios juegos, crear cuentas dentro del juego y hacer compras dentro de la app para aumentar o conseguir mejoras para posteriormente vender estas cuentas por dinero real.

El experto dice que los delincuentes atacaron juegos móviles como Clash of Clans de Supercell, Clash Royale de Supercel y un juego de Kabam llamado Marvel Contest of Champions.

Más 150,000 tarjetas encontradas en la base de datos

Basándose en los datos contenidos en la base de datos, Diachenko dice que esta herramienta automatizada se configuró para crear cuentas específicas para los usuarios ubicados en Arabia Saudita, India, Indonesia, Kuwait y Mauritania.

La base de datos también contenía 150,833 entradas de tarjetas únicas, cada una con número de tarjeta completo, fecha de vencimiento y CCV.

esquema-operacion-carders-apple

Esquema de la operación

"Las tarjetas de crédito que encontramos pertenecen a 19 bancos diferentes", dijo Diachenko. "Probablemente fueron comprados en los mercados de carders, ya que estaban en grupos de números redondos, como 10k, 20k, 30k".

Apple usa medidas de verificación muy bajas

Diachenko dice que también notificó a Apple porque también descubrió que el fabricante de iOS estaba usando medidas de verificación muy bajas para el sistema que agrega datos de tarjetas de pago a las cuentas de iOS y facilita el trabajo de los ladrones.

esquema-verificacion-y-compras-apple

El experto de Kromtech dice que las tarjetas con nombres y direcciones incorrectos se aprobaron fácilmente y se agregaron a las cuentas de iOS.

También es culpa de los desarrolladores no controlar los pagos

Diachenko también culpa a los dos fabricantes de juegos por no implementar sistemas que puedan detectar abusos automáticos como el llevado a cabo por este grupo, quien, según Diachenko, utilizó una herramienta llamada Racoonbot para interactuar con juegos Supercell y automatizar las operaciones de compra de características premium.

Fuente: Informe Kromtech

Read more