VexTrio TDS размещает вредоносные VPN-приложения в Google Play и App Store
VexTrio, сложная кибератака, известная управлением масштабной системой распределения трафика (TDS), расширила свою вредоносную деятельность, разместив поддельные VPN-приложения в крупных магазинах приложений, включая Google Play и Apple App Store.
Система TDS от VexTrio, появившаяся в результате слияния итальянских спамеров и разработчиков из Восточной Европы примерно в 2020 году, обеспечивает перенаправление веб-трафика со взломанных сайтов на мошеннические конечные точки, включая поддельное ПО, мошенничество с криптовалютой и обманные мобильные приложения.
Эволюция киберпреступной сети VexTrio
Инфраструктура группы, охватывающая надежных хостинг-провайдеров и облачные сервисы, поддерживает масштабные операции, затрагивающие миллионы пользователей по всему миру, а домены входят в топ-10 000 самых популярных в мире по состоянию на июль 2025 года.
Эта эволюция подчеркивает переход VexTrio от тактики спама к комплексному мошенничеству с использованием рекламных технологий, используя партнерские сети, такие как Los Pollos и TacoLoco, для монетизации источников черного трафика.
Веб-сайт Los Pollos в мае 2024 г.
Развертывание вредоносных VPN-приложений представляет собой критическое обострение тактики VexTrio, где на первый взгляд легитимные приложения, такие как FastVPN, разрабатываются для сбора пользовательских данных и перенаправления трафика в их экосистему TDS.
Эти приложения, разработанные такими компаниями, как Apperito и LocoMind, маскируются под инструменты безопасности, обещающие очистку оперативной памяти и зашифрованный просмотр, но вместо этого встраивают механизмы отслеживания, которые профилируют пользователей на основе геолокации, отпечатков устройств и поведенческих моделей.
После установки приложения используют разрешения для перехвата сетевого трафика, внедряя смарт-ссылки, которые перенаправляют пользователей на мошеннические схемы с оплатой за действие (CPA), включая злоупотребление push-уведомлениями и предложения по оплате кредитными картами.
Профиль LinkedIn, предположительно принадлежащий Игорю Воронину
Исторический анализ показывает, что по меньшей мере семь подобных приложений связаны с VexTrio, которые к 2024 году могут похвастаться более чем 500 000 загрузок и 50 000 активных пользователей, что было достигнуто за счет отравленных результатов SEO и взломанных сайтов WordPress .
Технические механизмы
Технически VPN-приложения VexTrio интегрируются с их основным TDS через домены типа nxt-psh[.]com, которые обеспечивают монетизацию push-уведомлений путем многократного запроса у пользователей разрешений на получение уведомлений с настраиваемыми параметрами агрессии.
Это порождает настойчивость, когда жертвы забрасываются кликбейтами, ведущими к предложениям IVR или пустым заявкам на кредитную карту, в результате чего партнеры получают выплаты, превышающие 100 долларов США за лид за дорогостоящее мошенничество, такое как мошенничество с пищевыми добавками или антивирусами.
Бэкэнд приложений подключается к диапазонам IP-адресов, размещенным в Швейцарии под AS203639, и аналогичным автономным системам, которые изначально арендовались итальянскими основателями для целевых страниц мошеннических знакомств, а теперь перепрофилированы для криптомошенничества и услуг проверки электронной почты с помощью таких инструментов, как DataSnap.
Смешивая фасады законных рекламных технологий с аффилированностью с «черными хакерами», VexTrio сохраняет правдоподобное отрицание, одновременно проверяя партнеров на таких форумах, как Black Hat World, гарантируя, что только опытные хакеры получат доступ к действующим смарт-линкам.
Согласно отчету , последствия выходят за рамки отдельных мошеннических действий, поскольку операции VexTrio способствуют прогнозируемым убыткам от цифрового мошенничества в размере 172 млрд долларов США к 2028 году, а только инвестиционные мошенничества принесли жертвам в США в 2024 году 16,6 млрд долларов США.
Их запутанная корпоративная структура, охватывающая почти 100 организаций по всей Европе и за ее пределами, затрудняет установление авторства и удаление, несмотря на усилия отрасли, благодаря которым их присутствие на взломанных сайтах сократилось с 50% в 2022 году до 40% в 2024 году.
Исследователи безопасности подчеркивают необходимость расширенной проверки магазинов приложений и блокировки на основе DNS для прерывания TDS VexTrio, поскольку группа продолжает внедрять инновации с помощью таких функций, как SmartRotation, для различных мошеннических целевых страниц.
Пока VexTrio дезинфицирует свои онлайн-следы после разоблачений, постоянный мониторинг их центров разработки в Восточной Европе и швейцарских штаб-квартир остается крайне важным для сдерживания этой всепроникающей угрозы.
About The Author
