Aplicacions malicioses de VexTrio Viper
El panorama en constant evolució de la ciberdelinqüència ha tornat a posar en primer pla el nom de VexTrio Viper. Aquest grup maliciós de tecnologia publicitària ha estat descobert infiltrant-se en botigues d'aplicacions legítimes, manipulant usuaris i operant una extensa empresa criminal emmascarada darrere de sofisticades tàctiques digitals.
Taula de continguts
Disfressat d’ajuda: aplicacions malicioses a la vista de tothom
VexTrio Viper ha llançat amb èxit diverses aplicacions fraudulentes tant a l'Apple App Store com a la Google Play Store. Aquestes aplicacions es fan passar per eines útils com ara VPN, amplificadors de RAM, plataformes de cites, bloquejadors de correu brossa o utilitats de monitorització. Amagades darrere de noms de desenvolupadors aparentment fiables com HolaCode, LocoMind, Hugmi, Klover Group i AlphaScale Media, les aplicacions s'han descarregat milions de vegades.
Un cop instal·lades, aquestes aplicacions normalment fan el següent:
- Coaccionar els usuaris perquè s'inscriguin a subscripcions cares i difícils de cancel·lar.
- Bombardejar els usuaris amb anuncis intrusius.
- Recopilar informació personal com ara adreces de correu electrònic.
Un exemple notable és l'aplicació de bloqueig Spam Shield, que afirma bloquejar el correu brossa de notificacions push però enganya els usuaris perquè es registrin a càrrecs recurrents i costosos.
Les queixes dels usuaris revelen l’engany
Els informes de les víctimes sobre aquestes aplicacions revelen l'abast de l'explotació dels usuaris. Molts crítics citen models de preus enganyosos i tàctiques de subscripció depredadores:
"De seguida demana diners, i si no els fas, els anuncis són tan perjudicials que el vaig desinstal·lar abans de poder-lo provar."
«Se suposa que aquesta aplicació costa 14,99 dòlars al mes. Durant el febrer, em van facturar setmanalment 14,99 dòlars, és a dir, 70 dòlars al mes! I no la puc desinstal·lar. Esperen que no ho notis o que sigui massa tard per demanar un reemborsament.»
Aquests són només alguns dels molts senyals d'alerta que confirmen que les aplicacions són vehicles per al frau.
Una operació criminal global a les ombres
VexTrio Viper no només tracta d'aplicacions malicioses. El grup forma part d'una infraestructura criminal multinacional més gran que ha estat en funcionament des d'almenys el 2015. Les seves operacions abasten:
Sistemes de distribució de trànsit (TDS) : s'utilitzen per redirigir grans volums de trànsit web a pàgines fraudulentes.
Xarxes d'afiliació : actuen com a intermediaris entre els distribuïdors de programari maliciós i els anunciants de frau.
Eines que permeten el frau : processament de pagaments a través de serveis com Pay Salsa i validació de correu electrònic amb DataSnap.
Aquesta estructura permet a VexTrio operar tant com a afiliat editorial (infectant llocs web legítims) com a afiliat publicitari (realitzant estafes com ara sortejos falsos o fraus criptogràfics).
Empreses Shell i expansió transfronterera
El sistema TDS del grup sembla que funciona a través d'una empresa fantasma anomenada AdsPro Group, amb figures clau ubicades a Itàlia, Bielorússia i Rússia. L'operació es va estendre posteriorment a països com Bulgària, Moldàvia, Romania, Estònia i la República Txeca, vinculant VexTrio a més de 100 empreses i marques.
Particularment preocupant és com VexTrio i els seus socis estan profundament integrats en la indústria de la tecnologia publicitària maliciosa, un ecosistema on la ciberdelinqüència com el robatori d'identitat, les estafes d'inversió i la recopilació de dades poden prosperar pràcticament desapercebudes.
Control total: des dels editors fins als anunciants
El que diferencia VexTrio és el seu control a banda i banda de la cadena de màrqueting d'afiliació. A través d'empreses com Teknology, Los Pollos, Taco Loco i Adtrafico, ells:
- Executeu enllaços intel·ligents encoberts per ocultar pàgines de destinació fraudulentes.
- Utilitzeu serveis de camuflatge com ara IMKLO per oferir contingut diferent segons la ubicació, el dispositiu o el navegador de la víctima.
- Opera xarxes de CPA (cost per acció), permetent als socis obtenir beneficis de les accions dels usuaris com ara l'activació de notificacions, la compartició d'informació personal o la descàrrega d'aplicacions fraudulentes.
El maig de 2024, Los Pollos afirmava gestionar 200.000 afiliats i més de 2.000 milions d'usuaris únics mensuals, cosa que demostra l'abast digital de VexTrio.
Dues tàctiques principals en ús
Implementació d'aplicacions enganyoses
VexTrio publica aplicacions que semblen eines genuïnes, com ara VPN o netejadors de sistemes, però que en realitat són malicioses. Aquestes aplicacions enganyen els usuaris perquè es subscriguin a serveis costosos, recopilen dades personals i els saturen amb anuncis intrusius.
Redirecció d'estafes basades en afiliats
Aprofitant els enllaços intel·ligents encoberts, VexTrio redirigeix el trànsit des de llocs web compromesos però legítims a pàgines de destinació fraudulentes. Això funciona gràcies a una extensa xarxa d'afiliats que es beneficien cada vegada que els usuaris interactuen amb aquestes estafes, ja sigui introduint informació personal, activant notificacions o descarregant aplicacions falses.
Un avís per al futur
VexTrio Viper és emblemàtic d'una amenaça creixent, que combina l'abast de les plataformes digitals legítimes amb l'astúcia del cibercrim organitzat. Mentre aquests actors continuïn emmascarant les seves activitats darrere de xarxes d'afiliats i llistes enganyoses de botigues d'aplicacions, milions d'usuaris continuen en risc.
La vigilància és clau. Els usuaris han de mantenir-se escèptics davant les aplicacions que prometen massa, examinar acuradament els models de subscripció i evitar compartir informació sensible sense la diligència deguda.
