I dispositivi mobili funzionano su molti canali, spesso in bande di frequenza completamente diverse a seconda del provider. Quindi, anche se disponi di un dispositivo in grado di ascoltare il traffico e controllare l'IMSI / TMSI (l'IMSI viene trasmesso raramente, puoi guardare TMSI, che è un ID quasi univoco), che dovrebbe operare su tutte le centinaia di canali validi, altrimenti dovrai passare ore a fare solo una scansione (supponendo che il tuo dispositivo sia limitato a un canale), nel qual caso probabilmente molti dispositivi saranno arrivati / usciti. Il modo pratico (nota questo non significa legale) è impersonare una stazione base e attendere che i dispositivi vengano da voi. Questo è ciò che i catcher IMSI fanno, fondamentalmente un attacco MITM per far sì che tutti i dispositivi vicini ammettano chi sono, perché pensano che il tuo dispositivo sia un torre cellulare nelle vicinanze.
Ecco una domanda simile su SE: link ed ecco un articolo sulle lunghezze a cui è necessario andare per intercettare semplicemente l'IMSI di UN dispositivo senza impersonare una stazione base: link