แอปที่เป็นอันตราย VexTrio Viper
ภูมิทัศน์ของอาชญากรรมไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลาได้นำพาชื่อ VexTrio Viper กลับมาเป็นที่จับตามองอีกครั้ง กลุ่มเทคโนโลยีโฆษณาอันตรายกลุ่มนี้ถูกจับได้ว่าแฝงตัวอยู่ในร้านค้าแอปที่ถูกกฎหมาย หลอกลวงผู้ใช้ และดำเนินธุรกิจอาชญากรรมขนาดใหญ่ภายใต้กลยุทธ์ดิจิทัลที่ซับซ้อน
สารบัญ
ปลอมตัวเป็นตัวช่วย: แอปอันตรายที่มองเห็นชัดเจน
VexTrio Viper ประสบความสำเร็จในการเปิดตัวแอปพลิเคชันหลอกลวงหลายรายการทั้งบน Apple App Store และ Google Play Store แอปเหล่านี้แอบอ้างว่าเป็นเครื่องมือที่มีประโยชน์ เช่น VPN, RAM booster, แพลตฟอร์มหาคู่, โปรแกรมบล็อกสแปม หรือโปรแกรมตรวจสอบความปลอดภัย แอปเหล่านี้ถูกซ่อนไว้ภายใต้ชื่อนักพัฒนาซอฟต์แวร์ที่ดูน่าเชื่อถืออย่าง HolaCode, LocoMind, Hugmi, Klover Group และ AlphaScale Media และมียอดดาวน์โหลดหลายล้านครั้ง
เมื่อติดตั้งแล้ว แอปเหล่านี้โดยทั่วไป:
- บังคับให้ผู้ใช้สมัครสมาชิกแบบราคาแพงและยกเลิกได้ยาก
- โจมตีผู้ใช้ด้วยโฆษณาที่รบกวน
- รวบรวมข้อมูลส่วนตัว เช่น ที่อยู่อีเมล
ตัวอย่างที่น่าสังเกตคือแอปบล็อก Spam Shield ซึ่งอ้างว่าสามารถบล็อกสแปมการแจ้งเตือนแบบพุชได้ แต่กลับหลอกผู้ใช้ให้สมัครรับบริการที่มีค่าใช้จ่ายสูงเป็นประจำ
การร้องเรียนของผู้ใช้เผยให้เห็นการหลอกลวง
รายงานจากเหยื่อเกี่ยวกับแอปเหล่านี้เผยให้เห็นขอบเขตของการแสวงหาประโยชน์จากผู้ใช้ ผู้วิจารณ์หลายรายอ้างถึงรูปแบบการกำหนดราคาที่เข้าใจผิดและกลยุทธ์การสมัครสมาชิกแบบฉ้อโกง:
'มันจะเรียกเก็บเงินทันที และถ้าคุณไม่จ่าย โฆษณาจะก่อกวนมากจนฉันต้องถอนการติดตั้งก่อนที่จะได้ลองใช้ด้วยซ้ำ'
แอปนี้น่าจะราคา 14.99 ดอลลาร์ต่อเดือน ช่วงเดือนกุมภาพันธ์ ฉันโดนเรียกเก็บเงินรายสัปดาห์ 14.99 ดอลลาร์ เหลือแค่ 70 ดอลลาร์ต่อเดือน! แล้วฉันก็ถอนการติดตั้งไม่ได้ด้วย พวกเขาหวังว่าคุณจะไม่สังเกตเห็น ไม่งั้นคงสายเกินไปที่จะขอเงินคืน
นี่เป็นเพียงสัญญาณเตือนบางส่วนจากหลายๆ กรณีที่ยืนยันว่าแอปเหล่านี้เป็นช่องทางในการฉ้อโกง
ปฏิบัติการอาชญากรระดับโลกในเงามืด
VexTrio Viper ไม่ใช่แค่แอปอันตรายเท่านั้น กลุ่มนี้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานอาชญากรรมข้ามชาติขนาดใหญ่ที่ดำเนินงานมาตั้งแต่ปี 2015 เป็นอย่างน้อย การดำเนินงานของพวกเขาครอบคลุม:
ระบบการกระจายปริมาณการเข้าชม (TDSes) ใช้ในการเปลี่ยนเส้นทางปริมาณการเข้าชมเว็บจำนวนมากไปยังหน้าเว็บหลอกลวง
เครือข่ายพันธมิตร : ทำหน้าที่เป็นตัวกลางระหว่างผู้จัดจำหน่ายมัลแวร์และผู้โฆษณาหลอกลวง
เครื่องมือที่ทำให้เกิดการฉ้อโกง : การประมวลผลการชำระเงินผ่านบริการเช่น Pay Salsa และการตรวจสอบอีเมลโดยใช้ DataSnap
โครงสร้างนี้ช่วยให้ VexTrio สามารถดำเนินการได้ทั้งในฐานะพันธมิตรในการเผยแพร่ (ติดเชื้อเว็บไซต์ที่ถูกกฎหมาย) และพันธมิตรในการโฆษณา (ดำเนินการหลอกลวง เช่น ชิงโชคปลอมหรือการฉ้อโกงสกุลเงินดิจิทัล)
บริษัทเชลล์และการขยายธุรกิจข้ามพรมแดน
ระบบ TDS ของกลุ่มบริษัทนี้ดูเหมือนจะดำเนินงานผ่านบริษัทเชลล์ที่ชื่อว่า AdsPro Group ซึ่งมีบุคคลสำคัญประจำอยู่ในอิตาลี เบลารุส และรัสเซีย ต่อมาการดำเนินงานได้ขยายไปยังประเทศต่างๆ เช่น บัลแกเรีย มอลโดวา โรมาเนีย เอสโตเนีย และสาธารณรัฐเช็ก ซึ่งเชื่อมโยง VexTrio เข้ากับบริษัทและแบรนด์ต่างๆ กว่า 100 แห่ง
สิ่งที่น่ากังวลเป็นพิเศษคือการที่ VexTrio และพันธมิตรเข้าไปแทรกซึมอย่างลึกซึ้งในอุตสาหกรรมเทคโนโลยีโฆษณาที่เป็นอันตราย ซึ่งเป็นระบบนิเวศที่อาชญากรรมทางไซเบอร์ เช่น การโจรกรรมข้อมูลประจำตัว การหลอกลวงด้านการลงทุน และการรวบรวมข้อมูล สามารถเติบโตได้อย่างแทบไม่มีใครสังเกตเห็น
การควบคุมทั้งหมด: จากผู้เผยแพร่สู่ผู้โฆษณา
สิ่งที่ทำให้ VexTrio แตกต่างคือการยึดครองทั้งสองด้านของเครือข่ายการตลาดแบบพันธมิตร ผ่านบริษัทอย่าง Teknology, Los Pollos, Taco Loco และ Adtrafico พวกเขา:
- รันสมาร์ทลิงก์ที่ปกปิดไว้เพื่อซ่อนหน้า Landing Page ที่เป็นกลโกง
- ใช้บริการปกปิดเช่น IMKLO เพื่อส่งมอบเนื้อหาที่แตกต่างกันขึ้นอยู่กับตำแหน่ง อุปกรณ์ หรือเบราว์เซอร์ของเหยื่อ
- ดำเนินการเครือข่าย CPA (ต้นทุนต่อการดำเนินการ) ช่วยให้พันธมิตรได้รับรายได้จากการดำเนินการของผู้ใช้ เช่น การเปิดการแจ้งเตือน การแบ่งปันข้อมูลส่วนบุคคล หรือการดาวน์โหลดแอปหลอกลวง
ในเดือนพฤษภาคม พ.ศ. 2567 Los Pollos อ้างว่าสามารถจัดการพันธมิตร 200,000 รายและผู้ใช้ที่ไม่ซ้ำกันมากกว่า 2 พันล้านรายต่อเดือน ซึ่งแสดงให้เห็นถึงขอบเขตอันมหาศาลของการเข้าถึงดิจิทัลของ VexTrio
สองกลยุทธ์หลักที่ใช้
การปรับใช้แอปที่หลอกลวง
VexTrio เผยแพร่แอปที่ดูเหมือนเป็นเครื่องมือจริง เช่น VPN หรือโปรแกรมทำความสะอาดระบบ แต่แท้จริงแล้วเป็นแอปอันตราย แอปเหล่านี้หลอกผู้ใช้ให้สมัครใช้บริการราคาแพง รวบรวมข้อมูลส่วนบุคคล และโฆษณาที่น่ารำคาญ
การเปลี่ยนเส้นทางการหลอกลวงโดยอาศัยพันธมิตร
VexTrio ใช้ประโยชน์จากสมาร์ทลิงก์ที่ปกปิดไว้ สามารถเปลี่ยนเส้นทางการเข้าชมจากเว็บไซต์ที่ถูกบุกรุกแต่ยังถูกกฎหมายไปยังหน้า Landing Page ปลอมได้ ขับเคลื่อนโดยเครือข่ายพันธมิตรขนาดใหญ่ที่แสวงหาผลกำไรทุกครั้งที่ผู้ใช้โต้ตอบกับกลโกงเหล่านี้ ไม่ว่าจะเป็นการกรอกข้อมูลส่วนตัว การเปิดใช้งานการแจ้งเตือน หรือการดาวน์โหลดแอปปลอม
คำเตือนสำหรับอนาคต
VexTrio Viper เป็นสัญลักษณ์ของภัยคุกคามที่กำลังเติบโต ซึ่งผสานรวมการเข้าถึงแพลตฟอร์มดิจิทัลที่ถูกกฎหมายเข้ากับกลอุบายของอาชญากรรมไซเบอร์ที่เป็นระบบ ตราบใดที่ผู้กระทำความผิดเหล่านี้ยังคงปกปิดกิจกรรมของตนไว้เบื้องหลังเครือข่ายพันธมิตรและรายชื่อแอปสโตร์ที่หลอกลวง ผู้ใช้หลายล้านคนก็ยังคงตกอยู่ในความเสี่ยง
ความระมัดระวังเป็นสิ่งสำคัญ ผู้ใช้ต้องตั้งข้อสงสัยเกี่ยวกับแอปที่โฆษณาเกินจริง ตรวจสอบรูปแบบการสมัครสมาชิกอย่างละเอียด และหลีกเลี่ยงการเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ได้ตรวจสอบอย่างรอบคอบ
