Maison mère de Google, Alphabet a lancé une action en justice contre un groupe de cybercriminels chinois connu sous le nom de Darcula. Cette organisation est accusée d'avoir orchestré une vaste campagne de phishing par SMS (smishing), afin de tromper des milliers d'utilisateurs et leur soutirer leurs informations bancaires.
L'offensive judiciaire cherche à obtenir une autorisation des tribunaux américains pour saisir et fermer les sites web utilisés par le réseau. De quoi perturber ses opérations.
Le fonctionnement du réseau Darcula
Le groupe Darcula s'est spécialisé dans la vente d'un outil malveillant Magic Cat. Même sans compétences techniques avancées, il permet à des cybercriminels d'envoyer massivement des SMS frauduleux.
Des messages usurpaient l'identité d'entités connues comme le service postal américain (USPS), ou proposaient de fausses offres pour des services tels que YouTube Premium. Le but était d'attirer les victimes sur de faux sites web pour qu'elles y saisissent leurs numéros de carte de paiement.
Selon la plainte de Google, ce stratagème a permis de voler près de 900 000 numéros de cartes bancaires, dont 40 000 appartenant à des Américains et plusieurs milliers à des victimes françaises en seulement quelques mois.
L'ampleur de l'opération cybercriminelle
L'opération Darcula a atteint une échelle industrielle. Google estime que le réseau était responsable de 80 % de tous les SMS de phishing durant une période non spécifiée plus tôt cette année.
Une enquête conjointe menée par plusieurs médias européens, dont Le Monde, et s'appuyant sur des données de la société de sécurité Mnemonic, a révélé que plus de 600 cybercriminels distincts utilisaient Magic Cat pour mener leurs campagnes. Les données analysées montraient que plus de 13 millions de personnes dans le monde avaient cliqué sur un lien envoyé via cet outil sur une courte période.
La plainte déposée par Google identifie nommément un ressortissant chinois d'une vingtaine d'années comme l'un des développeurs et leaders présumés du groupe, bien que 24 autres suspects restent anonymes.
Une deuxième plainte de Google en un mois
Si que Darcula semble moins actif publiquement suite aux révélations des médias, Google souligne que son infrastructure reste prête à être redéployée. Également pour du smishing, Google avait déjà déposé une plainte aux États-Unis contre la plateforme Lighthouse d'origine chinoise.
