Специалисты Infoblox уличили разработчика мобильных приложений и поставщика рекламных технологий VexTrio в распространении вредоносного ПО и фишинговых атаках через магазины Apple Store и Google Play. Их установили миллионы пользователей по всему миру.
На самом деле это глобальная мошенническая сеть с распределением трафика, скомпрометированными сайтами и аффилиатами.
Вредонос вместо службы знакомств
Кибермошенники маскируют приложения под полезные инструменты:
- VPN-сервисы,
- утилиты для мониторинга состояния устройства,
- ОЗУ-оптимизаторы,
- сервисы знакомств и блокировщики спама.
Но на самом деле они участвуют в мошенничестве с рекламой и крадут чувствительные данные. Одно из приложений — Spam Shield block (блокировка спама) — якобы должно блокировать уведомления, однако на самом деле оно оформляет пользователей на платную подписку, вынуждая жертву её оплачивать.
Чтобы «замести» следы, мошенники публикуют приложения от имени разных разработчиков: HolaCode, LocoMind, Hugmi, Klover Group и AlphaScale Media.
Дорогая подписка и невозможность удалить приложение — что пишут пользователи
Как только пользователь устанавливает мошенническое приложение на устройство, оно обманом заставляет жертву оформить платную подписку, которую невозможно отменить, спамит рекламой и собирает персональную информацию, например, адреса эл. почты.
Эксперты отмечают, что разработчик LocoMind, упомянутый выше, ранее уже был замечен в фишинговой кампании с применением технологии вредоносной рекламы (malvertising).
Пользователи активно жалуются на приложения в отзывах на маркетплейсах. Например, одна из жертв пишет:
если пользователь отказывается оплачивать подписку, вредонос начинает спамить навязчивой рекламой.
Другой сообщает об обмане с оплатой:
вместо заявленных $14,99 в месяц приложение списывает оплату каждую неделю, увеличивая стоимость подписки до $70 в месяц. Также пользователи сообщают, что приложения невозможно так просто удалить с устройства.
Масштабная сеть с перенаправлением трафика и клоакингом
Специалисты Infoblox сообщают, что VexTrio известны за счет коммерческой партнерской сети. Она является посредником между распространителями вредоносного ПО, которые, например, взламывают сайты на WordPress (паблишеры-партнеры), и киберпреступниками, которые рекламируют мошеннические схемы, начиная от розыгрышей призов и заканчивая криптомошенничеством (рекламные партнеры).
Новые данные раскрывают масштабы многонациональной киберпреступной схемы VexTrio Viper. С 2015 года злоумышленники управляют службами TDS, которые перенаправляют огромные объемы интернет-трафика через свои рекламные сети.
Также эксперты выяснили, что мошенники связаны с платежными сервисами Pay Salsa и инструментами проверки электронной почты. Кроме того, сеть была уличена в масштабных рассылках спама.
Предполагается, что сеть была создана подставной компанией AdsPro Group, за которой стоят ключевые фигуры, предположительно находящиеся в Италии, Беларуси и России. Эксперты считают, что владельцы сети занимаются мошеннической деятельностью как минимум с 2004 года, которая существенно разрослась в Болгарии, Молдове, Румынии, Эстонии и Чехии в 2015 году.
Команда Infoblox обнаружила, что с VexTrio связано более 100 компаний и брендов.
Так, в мае 2024 года партнерская сеть Los Pollos (участник сети) похвасталась тем, что в их распоряжении находятся 200 тыс. аффилиатов (вебмастеров) и 2+ миллиарда уникальных пользователей ежемесячно.
Los Pollos и Adtrafico — сети с оплатой за конверсию (CPA), которые позволяют владельцам сайтов (аффилиатам) зарабатывать на комиссионных вознаграждениях, когда посетитель выполняет определенное конверсионное действие. К примеру, это может быть предоставление персональных данных, загрузка приложения, заполнение данных с указанием банковской карты.
Как мошенники зарабатывают на скомпрометированных сайтах и «умных» ссылках
Эксперты приводят следующую схему, как мошенники используют скомпрометированные сайты и зарабатывают на этом:
- Злоумышленники компрометируют сайт и добавляют «умную» ссылку, которая автоматически направляет пользовательский трафик на наиболее подходящий оффер (предложение).
- Посетитель переходит на скомпрометированный сайт и кликает по умной ссылке.
- TDS (система распределения трафика) анализирует профиль посетителя и далее по результатам проверки направляет его на одну из двух типов страниц:
- редиректит пользователя на мошенническую страницу и обманом заставляет совершить оплату или раскрыть свои персональные данные;
- показывает безобидную страницу.
Чтобы избежать обнаружения, злоумышленники используют специальные сервисы маскировки (клоакинга), такие как IMKLO, чтобы скрыть реальные адреса сайтов и проверять пользователей по определенным параметрам, например геоположению, типу устройства, браузеру. Это дает возможность системе определить, какой тип страницы показывать — фишинговую или безобидную.
Чтобы не стать жертвой кибермошенников, эксперты советуют пользователям соблюдать цифровую гигиену и повышать осведомленность о том, что мошенники могут подстерегать везде, и не раскрывать свои персональные данные сомнительным источникам.
Ранее в нашем блоге мы рассказывали, как специалисты IAS обнаружили мошенническую схему Mirage с приложениями, зараженными рекламным ПО для Android-устройств, с 70+ млн установок и 350 млн фальшивых запросов на показ рекламы.
Подписывайтесь на наш ТГ-канал: рассказываем про фрод и рекламу.
