Ứng dụng độc hại VexTrio Viper

Bối cảnh tội phạm mạng không ngừng biến đổi đã một lần nữa đưa tên tuổi VexTrio Viper lên hàng đầu. Nhóm công nghệ quảng cáo độc hại này đã bị phát hiện xâm nhập vào các cửa hàng ứng dụng hợp pháp, thao túng người dùng và điều hành một tổ chức tội phạm quy mô lớn được ngụy trang dưới các chiến thuật kỹ thuật số tinh vi.

Ngụy trang dưới dạng Trợ giúp: Ứng dụng độc hại hiện rõ

VexTrio Viper đã tung ra thành công nhiều ứng dụng lừa đảo trên cả Apple App Store và Google Play Store. Những ứng dụng này giả mạo các công cụ hữu ích như VPN, tăng RAM, nền tảng hẹn hò, chặn thư rác hoặc tiện ích giám sát. Ẩn sau những cái tên nhà phát triển có vẻ đáng tin cậy như HolaCode, LocoMind, Hugmi, Klover Group và AlphaScale Media, các ứng dụng này đã được tải xuống hàng triệu lần.

Sau khi cài đặt, các ứng dụng này thường:

• Ép buộc người dùng đăng ký các gói đăng ký đắt tiền và khó hủy.
• Làm phiền người dùng bằng những quảng cáo gây phiền nhiễu.
• Thu thập thông tin cá nhân như địa chỉ email.

Một ví dụ đáng chú ý là ứng dụng chặn Spam Shield, ứng dụng này tuyên bố có thể chặn thư rác thông báo đẩy nhưng thực chất lại lừa người dùng đăng ký các khoản phí định kỳ tốn kém.

Khiếu nại của người dùng tiết lộ sự lừa dối

Các báo cáo của nạn nhân về những ứng dụng này cho thấy mức độ khai thác người dùng. Nhiều người đánh giá đã trích dẫn các mô hình định giá gây hiểu lầm và các chiến thuật đăng ký mang tính săn mồi:

'Ngay lập tức nó yêu cầu trả tiền, và nếu bạn không trả tiền, quảng cáo sẽ gây phiền nhiễu đến mức tôi đã gỡ cài đặt trước khi kịp thử.'

'Ứng dụng này được cho là có giá 14,99 đô la một tháng. Hồi tháng Hai, tôi bị tính phí hàng tuần là 14,99 đô la - tức là 70 đô la một tháng! Và tôi không thể gỡ cài đặt nó. Họ hy vọng bạn sẽ không nhận ra, nếu không thì đã quá muộn để được hoàn tiền.'

Đây chỉ là một số ít trong số nhiều dấu hiệu cảnh báo xác nhận rằng các ứng dụng là phương tiện lừa đảo.

Một hoạt động tội phạm toàn cầu trong bóng tối

VexTrio Viper không chỉ là một nhóm các ứng dụng độc hại. Nhóm này là một phần của một cơ sở hạ tầng tội phạm đa quốc gia lớn hơn đã hoạt động ít nhất từ năm 2015. Hoạt động của chúng bao gồm:

Hệ thống phân phối lưu lượng truy cập (TDS) : Được sử dụng để chuyển hướng lượng lớn lưu lượng truy cập web đến các trang lừa đảo.

Mạng lưới liên kết : Hoạt động như trung gian giữa những người phân phối phần mềm độc hại và các nhà quảng cáo gian lận.

Công cụ tạo điều kiện gian lận : Xử lý thanh toán thông qua các dịch vụ như Pay Salsa và xác thực email bằng DataSnap.

Cấu trúc này cho phép VexTrio hoạt động vừa như một đơn vị liên kết xuất bản (lây nhiễm vào các trang web hợp pháp) vừa như một đơn vị liên kết quảng cáo (thực hiện các trò lừa đảo như xổ số giả mạo hoặc gian lận tiền điện tử).

Các công ty vỏ bọc và sự mở rộng xuyên biên giới

Hệ thống TDS của tập đoàn này dường như được vận hành thông qua một công ty vỏ bọc có tên là AdsPro Group, với các nhân vật chủ chốt đặt tại Ý, Belarus và Nga. Hoạt động này sau đó đã lan sang các quốc gia như Bulgaria, Moldova, Romania, Estonia và Cộng hòa Séc, kết nối VexTrio với hơn 100 công ty và thương hiệu.

Điều đặc biệt đáng lo ngại là VexTrio và các đối tác của họ lại nhúng sâu vào ngành công nghệ quảng cáo độc hại, một hệ sinh thái nơi tội phạm mạng như trộm cắp danh tính, lừa đảo đầu tư và thu thập dữ liệu có thể phát triển mạnh mà hầu như không bị phát hiện.

Kiểm soát toàn diện: Từ nhà xuất bản đến nhà quảng cáo

Điểm khác biệt của VexTrio nằm ở khả năng kiểm soát cả hai phía của chuỗi tiếp thị liên kết. Thông qua các công ty như Teknology, Los Pollos, Taco Loco và Adtrafico, họ:

• Chạy liên kết thông minh ẩn để ẩn các trang đích lừa đảo.
• Sử dụng dịch vụ che giấu như IMKLO để cung cấp nội dung khác nhau dựa trên vị trí, thiết bị hoặc trình duyệt của nạn nhân.
• Vận hành mạng CPA (chi phí cho mỗi hành động), cho phép các đối tác kiếm tiền từ các hành động của người dùng như bật thông báo, chia sẻ thông tin cá nhân hoặc tải xuống ứng dụng gian lận.

Vào tháng 5 năm 2024, Los Pollos tuyên bố quản lý 200.000 chi nhánh và hơn 2 tỷ người dùng duy nhất hàng tháng, chứng minh quy mô tiếp cận kỹ thuật số tuyệt đối của VexTrio.

Hai chiến thuật chính đang được sử dụng

Triển khai ứng dụng lừa đảo
VexTrio phát hành các ứng dụng trông có vẻ là công cụ chính hãng, chẳng hạn như VPN hoặc trình dọn dẹp hệ thống, nhưng thực chất là độc hại. Những ứng dụng này lừa người dùng đăng ký các dịch vụ tốn kém, thu thập dữ liệu cá nhân và làm họ choáng ngợp với những quảng cáo xâm nhập.

Chuyển hướng lừa đảo dựa trên liên kết
Bằng cách tận dụng các liên kết thông minh được che giấu, VexTrio chuyển hướng lưu lượng truy cập từ các trang web hợp pháp nhưng bị xâm phạm đến các trang đích lừa đảo. Hoạt động này được hỗ trợ bởi một mạng lưới chi nhánh rộng lớn, những kẻ hưởng lợi bất cứ khi nào người dùng tương tác với các trò gian lận này, cho dù bằng cách nhập thông tin cá nhân, bật thông báo hay tải xuống ứng dụng giả mạo.

Một lời cảnh báo cho tương lai

VexTrio Viper là biểu tượng của một mối đe dọa đang gia tăng, kết hợp phạm vi hoạt động của các nền tảng kỹ thuật số hợp pháp với sự xảo quyệt của tội phạm mạng có tổ chức. Chừng nào những kẻ này còn tiếp tục che giấu hoạt động của chúng đằng sau các mạng lưới liên kết và danh sách cửa hàng ứng dụng lừa đảo, hàng triệu người dùng vẫn phải đối mặt với nguy cơ.

Sự cảnh giác là chìa khóa. Người dùng phải luôn cảnh giác với những ứng dụng hứa hẹn quá mức, xem xét kỹ lưỡng các mô hình đăng ký và tránh chia sẻ thông tin nhạy cảm mà không có sự thẩm định kỹ lưỡng.