El proveedor de tecnología publicitaria maliciosa conocido como Vextrio Viper Se ha observado desarrollar varias aplicaciones maliciosas que se han publicado en la tienda de aplicaciones oficial de Apple y Google bajo la apariencia de aplicaciones aparentemente útiles.
Estas aplicaciones se disfrazan de VPN, aplicaciones de «monitoreo» de dispositivos, limpiadores de RAM, servicios de citas y bloqueadores de spam, la firma de inteligencia de amenazas DNS Informlox dijo en un análisis exhaustivo compartido con Hacker News.
«Lanzaron aplicaciones bajo varios nombres de desarrolladores, incluidos Holacode, Locomind, Hugmi, Klover Group y Alphascale Media», dijo la compañía. «Disponible en Google Play y Apple Store, se han descargado millones de veces en conjunto».
Estas aplicaciones falsas, una vez instaladas, engañan a los usuarios para que se registren para suscripciones que son difíciles de cancelar, inundarlas con anuncios y se separan con información personal como direcciones de correo electrónico. Vale la pena señalar que Cyjax fue marcado previamente por Cyjax como parte de una campaña de phishing que sirve anuncios que afirman falsamente que sus dispositivos han sido dañados.
Una de esas aplicaciones de Android es Spam Shield Block, que pretende ser un bloqueador de spam para las notificaciones push, pero, en realidad, cobra a los usuarios varias veces después de convencerlos de que se inscriban en una suscripción.
«De inmediato pide dinero, y si no lo hace, los anuncios son tan perjudiciales que lo desinstalé antes de poder probarlo», dijo un usuario en una revisión de la aplicación en Google Play Store.
Otra revisión fue: «Se supone que esta aplicación es de $ 14.99 al mes. Durante el mes de febrero, me han facturado semanalmente por $ 14.99 que llega a $ 70 mensuales/$ 720 al año. No vale la pena. Y tener problemas para desinstalarlo. Le dicen un precio y luego le da la vuelta y le cobran algo más. Probablemente lo hagan, lo que no lo puede. teléfono.»
 |
| Cómo las amenazas Los actores aprovechan los sitios comprometidos y los smartlinks para ganar dinero |
Los nuevos hallazgos están al descubierto de la escala de la empresa criminal multinacional que es Vextrio Viper, que incluye los Servicios Operativos de Distribución de Tráfico (TDSE) para redirigir volúmenes masivos de tráfico de Internet a estafas a través de sus redes publicitarias desde 2015, así como la gestión de procesadores de pago como Salsa y herramientas de validación por correo electrónico como DataSNap.
«Vextrio y sus socios tienen éxito en parte porque sus negocios están ofuscados», dijo la compañía. «Pero es probable que una parte más grande de su éxito se mantenga en fraude, donde saben que hay menos riesgo de consecuencias».
Vextrio es conocido por ejecutar lo que se llama una red de afiliados comerciales, que sirve como intermediario entre los distribuidores de malware que, por ejemplo, han comprometido una colección de sitios web de WordPress con inyectos maliciosos (también conocido como actores de amenazas de publicación) y actores de amenazas).
Se evalúa el TDS creado por una compañía Shell llamada ADSPro Group, con cifras clave detrás de la organización de Italia, Bielorrusia y Rusia que participan en actividades fraudulentas desde al menos 2004, antes de ampliar sus operaciones a Bulgaria, Moldavia, Rumania, Estonia y la Checia alrededor de 2015. En todas las compañías y marcas se han vinculado a Vextrio.
«Los grupos de delitos organizados rusos comenzaron a construir un imperio dentro de la tecnología publicitaria a partir de 2015 o alrededor de 2015», dijo el Dr. Renée Burton, vicepresidente de Informlox Amenaza Intel, a The Hacker News. «Vextrio es un grupo clave dentro de esta industria, pero hay otros grupos. Todos los tipos de delitos cibernéticos, desde estafas de citas hasta fraude de inversiones y robos de información usan adtech malicioso, y pasa en gran medida desapercibido».
Pero lo que hace que el actor de amenaza sea notable es que controla los lados de publicación y publicidad de las redes de afiliados a través de una vasta red de compañías entrelazadas como Teknology, Los Pollos, Taco Loco y Adrafico. En mayo de 2024, Los Poltos dijo que tenía 200,000 afiliados y más de 2 mil millones de usuarios únicos cada mes.
Las estafas, en general, se desarrollan de esta manera: los usuarios desprevenidos que aterrizan en un sitio legítimo pero infectado se enrutan a través de un TDS bajo el control de Vextrio, lo que lleva a los usuarios a estafar las páginas de destino. Esto se logra por medio de un SmartLink que cubre la página de destino final y dificulta el análisis.
Los Pollos y Adrafico son redes de costo por acción (CPA) que permiten a los afiliados de publicación ganar una comisión cuando un visitante del sitio realiza una acción prevista. Esto podría aceptar una notificación de sitio web, proporcionar sus datos personales, descargar una aplicación o dar información de tarjeta de crédito.
También se ha encontrado que es un importante distribuidor de spam que se acerca a millones de víctimas potenciales, aprovechando los dominios parecidos de los servicios de correo populares como SendGrid («SendGrid (.) REST») y Mailgun («Mailgun (.) Diversión») para facilitar el servicio.
Otro aspecto significativo es el uso de servicios de encubrimiento como Imklo para disfrazar los dominios reales y evaluar criterios como la ubicación del usuario, su tipo de dispositivo, su navegador y luego determinar la naturaleza exacta del contenido que se entregará.
«La industria de la seguridad, y gran parte del mundo, está más centrada en el malware en este momento», dijo Burton. «Esto es, en cierto sentido, culpar a la víctima, en el que existe la creencia de que las personas que se enamoran de alguna manera merecen ser estafadas más».
«Por lo tanto, robar la información de su tarjeta de crédito a través de malware, incluso cuando requiere un golpe ridículo de claves, como los ataques falsos actuales de captcha/clickfix, es de alguna manera ‘peor’ que si está conectado a ceder.