برنامه‌های مخرب VexTrio Viper

چشم‌انداز رو به رشد جرایم سایبری، بار دیگر نام VexTrio Viper را بر سر زبان‌ها انداخته است. این گروه مخرب فناوری تبلیغات، در حال نفوذ به فروشگاه‌های اپلیکیشن قانونی، دستکاری کاربران و اداره یک سازمان مجرمانه گسترده در پشت تاکتیک‌های دیجیتالی پیچیده، شناسایی و دستگیر شده است.

پنهان‌شده به عنوان کمک: برنامه‌های مخرب در معرض دید

VexTrio Viper با موفقیت چندین برنامه‌ی جعلی را هم در فروشگاه اپل و هم در فروشگاه گوگل پلی منتشر کرده است. این برنامه‌ها وانمود می‌کنند که ابزارهای مفیدی مانند VPN، تقویت‌کننده‌ی رم، پلتفرم‌های دوست‌یابی، مسدودکننده‌ی هرزنامه یا ابزارهای نظارتی هستند. این برنامه‌ها که در پشت نام‌های توسعه‌دهنده‌ی به ظاهر قابل اعتمادی مانند HolaCode، LocoMind، Hugmi، Klover Group و AlphaScale Media پنهان شده‌اند، میلیون‌ها بار دانلود شده‌اند.

پس از نصب، این برنامه‌ها معمولاً:

• کاربران را مجبور به ثبت نام در اشتراک‌های گران‌قیمت و غیرقابل لغو کنید.
• کاربران را با تبلیغات مزاحم بمباران کنید.
• اطلاعات شخصی مانند آدرس‌های ایمیل را جمع‌آوری کنید.

یک نمونه قابل توجه، برنامه مسدودسازی Spam Shield است که ادعا می‌کند هرزنامه‌های اعلان‌های فوری را مسدود می‌کند، اما در عوض کاربران را فریب می‌دهد تا برای هزینه‌های مکرر و پرهزینه ثبت‌نام کنند.

شکایات کاربران، فریب را آشکار می‌کند

گزارش‌های قربانیان در مورد این برنامه‌ها، میزان سوءاستفاده از کاربران را نشان می‌دهد. بسیاری از منتقدان، مدل‌های قیمت‌گذاری گمراه‌کننده و تاکتیک‌های اشتراک‌گذاری غیرقانونی را ذکر می‌کنند:

«بلافاصله درخواست پول می‌کند، و اگر این کار را نکنید، تبلیغات آنقدر آزاردهنده هستند که قبل از اینکه حتی بتوانم آن را امتحان کنم، آن را حذف نصب کردم.»

«قرار است این برنامه ماهی ۱۴.۹۹ دلار باشد. در ماه فوریه، هر هفته ۱۴.۹۹ دلار - ماهی ۷۰ دلار - از من هزینه دریافت می‌شد! و من نمی‌توانم آن را حذف کنم. آنها امیدوارند که شما متوجه نشوید وگرنه برای بازپرداخت خیلی دیر خواهد شد.»

اینها تنها چند مورد از نشانه‌های هشداردهنده‌ای هستند که تأیید می‌کنند این برنامه‌ها ابزاری برای کلاهبرداری هستند.

یک عملیات جنایی جهانی در سایه‌ها

گروه VexTrio Viper فقط مربوط به برنامه‌های مخرب نیست. این گروه بخشی از یک زیرساخت جنایی چندملیتی بزرگ‌تر است که حداقل از سال ۲۰۱۵ فعالیت می‌کند. عملیات آنها شامل موارد زیر است:

سیستم‌های توزیع ترافیک (TDSes) : برای هدایت حجم زیادی از ترافیک وب به صفحات کلاهبرداری استفاده می‌شوند.

شبکه‌های وابسته : به عنوان واسطه بین توزیع‌کنندگان بدافزار و تبلیغ‌کنندگان کلاهبردار عمل می‌کنند.

ابزارهای کلاهبرداری : پردازش پرداخت از طریق سرویس‌هایی مانند Pay Salsa و اعتبارسنجی ایمیل با استفاده از DataSnap.

این ساختار به VexTrio اجازه می‌دهد تا هم به عنوان یک شرکت وابسته به انتشار (با آلوده کردن وب‌سایت‌های قانونی) و هم به عنوان یک شرکت وابسته به تبلیغات (با اجرای کلاهبرداری‌هایی مانند قرعه‌کشی‌های جعلی یا کلاهبرداری کریپتو) فعالیت کند.

شرکت‌های شل و گسترش فرامرزی

به نظر می‌رسد سیستم TDS این گروه از طریق یک شرکت صوری به نام AdsPro Group اداره می‌شود که چهره‌های کلیدی آن در ایتالیا، بلاروس و روسیه مستقر هستند. این عملیات بعداً به کشورهایی مانند بلغارستان، مولداوی، رومانی، استونی و جمهوری چک گسترش یافت و VexTrio را به بیش از ۱۰۰ شرکت و برند مرتبط کرد.

نکته نگران‌کننده‌تر این است که VexTrio و شرکایش عمیقاً در صنعت فناوری تبلیغات مخرب ریشه دوانده‌اند، اکوسیستمی که در آن جرایم سایبری مانند سرقت هویت، کلاهبرداری‌های سرمایه‌گذاری و برداشت داده‌ها می‌توانند عملاً بدون جلب توجه رشد کنند.

کنترل کامل: از ناشران تا تبلیغ‌کنندگان

چیزی که VexTrio را متمایز می‌کند، تسلط آن بر هر دو سوی زنجیره بازاریابی وابسته است. آنها از طریق شرکت‌هایی مانند Teknology، Los Pollos، Taco Loco و Adtrafico، موارد زیر را انجام می‌دهند:

• برای پنهان کردن صفحات فرود کلاهبرداری، لینک‌های هوشمند پنهان‌شده را اجرا کنید.
• از سرویس‌های پنهان‌سازی مانند IMKLO برای ارائه محتوای متفاوت بر اساس موقعیت مکانی، دستگاه یا مرورگر قربانی استفاده کنید.
• شبکه‌های CPA (هزینه به ازای هر اقدام) را راه‌اندازی کنید و به شرکا اجازه دهید از اقدامات کاربران مانند فعال کردن اعلان‌ها، به اشتراک‌گذاری اطلاعات شخصی یا دانلود برنامه‌های جعلی، درآمد کسب کنند.

در ماه مه ۲۰۲۴، لس پولوس ادعا کرد که ۲۰۰۰۰۰ شرکت وابسته و بیش از ۲ میلیارد کاربر منحصر به فرد را ماهانه مدیریت می‌کند، که نشان‌دهنده‌ی مقیاس وسیع دسترسی دیجیتال VexTrio است.

دو تاکتیک اصلی مورد استفاده

استقرار فریبنده برنامه
VexTrio برنامه‌هایی منتشر می‌کند که به نظر ابزارهای واقعی مانند VPN یا پاک‌کننده‌های سیستم هستند، اما در واقع مخرب هستند. این برنامه‌ها کاربران را فریب می‌دهند تا در سرویس‌های پرهزینه ثبت‌نام کنند، اطلاعات شخصی را جمع‌آوری کنند و آنها را با تبلیغات مزاحم غرق کنند.

تغییر مسیر کلاهبرداری مبتنی بر همکاری در فروش
با استفاده از لینک‌های هوشمند پنهان، VexTrio ترافیک را از وب‌سایت‌های آسیب‌پذیر اما قانونی به صفحات فرود جعلی هدایت می‌کند. این کار توسط شبکه گسترده‌ای از شرکت‌های وابسته انجام می‌شود که هر زمان کاربران با این کلاهبرداری‌ها تعامل داشته باشند، چه با وارد کردن اطلاعات شخصی، فعال کردن اعلان‌ها یا دانلود برنامه‌های جعلی، سود می‌برند.

هشداری برای آینده

VexTrio Viper نمادی از یک تهدید رو به رشد است، تهدیدی که دسترسی به پلتفرم‌های دیجیتال قانونی را با حیله‌گری جرایم سایبری سازمان‌یافته ترکیب می‌کند. تا زمانی که این بازیگران به پنهان کردن فعالیت‌های خود در پشت شبکه‌های وابسته و فهرست‌های فریبنده فروشگاه‌های اپلیکیشن ادامه دهند، میلیون‌ها کاربر در معرض خطر باقی می‌مانند.

هوشیاری کلید اصلی است. کاربران باید نسبت به وعده‌های بیش از حد برنامه‌ها شک داشته باشند، مدل‌های اشتراک را با دقت بررسی کنند و از به اشتراک گذاشتن اطلاعات حساس بدون بررسی دقیق خودداری کنند.