تتناول هذه المقالة كيف أن التطبيقات المزيفة التي تدعي أنها VPNs وحاجبات للرسائل غير المرغوب فيها تساهم في عمليات الاحتيال الإعلانية.
تطبيقات VPN المزيفة وحاجب الرسائل غير المرغوب فيها المرتبطة بـ VexTrio المستخدمة في الاحتيال الإعلاني وعمليات الاشتراك الاحتيالية
تم رصد مزود التكنولوجيا الإعلانية الخبيثة المعروف باسم VexTrio Viper وهو يقوم بتطوير العديد من التطبيقات الخبيثة التي تم نشرها على متاجر التطبيقات الرسمية من أبل وجوجل تحت ستار تطبيقات تبدو مفيدة.
تتظاهر هذه التطبيقات بأنها VPNs، وتطبيقات “مراقبة” الأجهزة، ومنظفات الذاكرة، وخدمات المواعدة، وحاجبات الرسائل غير المرغوب فيها، وفقًا لتحليل شامل شاركته شركة Infoblox المتخصصة في تهديدات DNS مع موقع The Hacker News.
“لقد أطلقوا تطبيقات تحت عدة أسماء مطورين، بما في ذلك HolaCode وLocoMind وHugmi وKlover Group وAlphaScale Media،” قالت الشركة. “متاحة في متجر جوجل بلاي ومتجر أبل، وقد تم تحميلها ملايين المرات مجتمعة.”
تقوم هذه التطبيقات المزيفة، بمجرد تثبيتها، بخداع المستخدمين للتسجيل في اشتراكات يصعب إلغاؤها، وتغمرهم بالإعلانات، وتجمع معلومات شخصية مثل عناوين البريد الإلكتروني. ومن الجدير بالذكر أن LocoMind تم الإبلاغ عنها سابقًا من قبل Cyjax كجزء من حملة تصيد تقدم إعلانات تدعي زيفًا أن أجهزتهم قد تعرضت للتلف.
تطبيق Spam Shield Block
من بين التطبيقات التي تم رصدها هو تطبيق Spam Shield block، الذي يدعي أنه حاجب للرسائل غير المرغوب فيها للإشعارات الفورية، ولكنه في الواقع يفرض رسومًا على المستخدمين عدة مرات بعد إقناعهم بالتسجيل في اشتراك.
“على الفور يطلب المال، وإذا لم تفعل، فإن الإعلانات مزعجة للغاية لدرجة أنني قمت بإلغاء تثبيته قبل أن أتمكن حتى من تجربته،” قال أحد المستخدمين في مراجعة للتطبيق على متجر جوجل بلاي.
وجاء في مراجعة أخرى: “هذا التطبيق من المفترض أن يكلف 14.99 دولارًا في الشهر. خلال شهر فبراير تم تحميلي أسبوعيًا بمبلغ 14.99 دولارًا، مما يصل إلى 70 دولارًا شهريًا / 720 دولارًا في السنة. ليس جديرًا بذلك. ولدي مشاكل في محاولة إلغاء تثبيته. يخبرونك بسعر واحد ثم يتراجعون ويشحنونك شيئًا آخر. ربما يأملون أن لا تلاحظ ذلك. أو سيكون قد فات الأوان للحصول على استرداد. كل ما أريده هو إزالة هذه القمامة من هاتفي.”
كيف يستغل المهاجمون المواقع المخترقة والروابط الذكية لكسب المال
تظهر النتائج الجديدة حجم المؤسسة الإجرامية متعددة الجنسيات التي تمثل VexTrio Viper، والتي تشمل تشغيل خدمات توزيع حركة المرور (TDSes) لإعادة توجيه كميات هائلة من حركة الإنترنت إلى عمليات الاحتيال من خلال شبكاتهم الإعلانية منذ عام 2015، بالإضافة إلى إدارة معالجات الدفع مثل Pay Salsa وأدوات التحقق من البريد الإلكتروني مثل DataSnap.
“تنجح VexTrio وشركاؤها جزئيًا لأن أعمالهم غير واضحة،” قالت الشركة. “لكن جزءًا أكبر من نجاحهم من المحتمل أنه بسبب أنهم يلتزمون بالاحتيال، حيث يعرفون أن هناك خطرًا أقل من العواقب.”
تشتهر VexTrio بتشغيل ما يسمى بشبكة الشركاء التجارية، حيث تعمل كوسيط بين موزعي البرمجيات الضارة الذين قاموا، على سبيل المثال، باختراق مجموعة من مواقع WordPress بحقنات خبيثة (المعروفة أيضًا بالشركاء الناشرين) والمهاجمين الذين يعلنون عن مخططات احتيالية مختلفة تتراوح من السحوبات إلى الاحتيالات المتعلقة بالعملات المشفرة (المعروفين أيضًا بالشركاء المعلنين).
يُعتقد أن TDS تم إنشاؤه بواسطة شركة وهمية تُدعى AdsPro Group، حيث يشارك شخصيات رئيسية من إيطاليا وبيلاروسيا وروسيا في أنشطة احتيالية منذ عام 2004 على الأقل، قبل توسيع عملياتهم إلى بلغاريا ومولدوفا ورومانيا وإستونيا وجمهورية التشيك حوالي عام 2015. في المجمل، تم ربط أكثر من 100 شركة وعلامة تجارية بـ VexTrio.
“بدأت مجموعات الجريمة المنظمة الروسية في بناء إمبراطورية داخل التكنولوجيا الإعلانية بدءًا من عام 2015 تقريبًا،” قالت الدكتورة رينيه بورتون، نائب رئيس معلومات التهديدات في Infoblox، لموقع The Hacker News. “VexTrio هي مجموعة رئيسية ضمن هذه الصناعة، لكن هناك مجموعات أخرى. جميع أنواع الجرائم الإلكترونية، من احتيالات المواعدة إلى احتيالات الاستثمار وسرقة المعلومات تستخدم التكنولوجيا الإعلانية الخبيثة، وغالبًا ما تمر دون أن يلاحظها أحد.”
لكن ما يجعل المهاجم بارزًا هو أنه يتحكم في كلا الجانبين من شبكات الشركاء من خلال شبكة واسعة من الشركات المتداخلة مثل Teknology وLos Pollos وTaco Loco وAdtrafico. في مايو 2024، قالت Los Pollos إنها تمتلك 200,000 شريك وأكثر من 2 مليار مستخدم فريد كل شهر.
تتجلى الاحتيالات بشكل عام على هذا النحو: المستخدمون غير المشتبه بهم الذين يصلون إلى موقع شرعي ولكنه مصاب يتم توجيههم عبر TDS تحت سيطرة VexTrio، مما يؤدي بعد ذلك إلى صفحات هبوط احتيالية. يتم تحقيق ذلك من خلال وسيلة ذكية تخفي الصفحة النهائية وتعيق التحليل.
تُعتبر Los Pollos وAdtrafico كلاهما شبكات تكلفة لكل إجراء (CPA) تسمح للشركاء الناشرين بكسب عمولة عندما يقوم زائر الموقع بإجراء الفعل المطلوب. قد يكون ذلك قبول إشعار موقع ويب، أو تقديم تفاصيلهم الشخصية، أو تنزيل تطبيق، أو تقديم معلومات بطاقة الائتمان.
كما تم العثور على أنها موزع رئيسي للبريد العشوائي الذي يصل إلى ملايين الضحايا المحتملين، مستفيدة من النطاقات المشابهة لخدمات البريد الشهيرة مثل SendGrid (“sendgrid[.]rest”) وMailGun (“mailgun[.]fun”) لتسهيل الخدمة.
جانب آخر مهم هو استخدام خدمات التخفي مثل IMKLO لإخفاء النطاقات الحقيقية وتقييم معايير مثل موقع المستخدم ونوع جهازه ومتصفحه، ثم تحديد طبيعة المحتوى الذي سيتم تقديمه.
“تركز صناعة الأمن، ومعظم العالم، على البرمجيات الضارة في الوقت الحالي،” قالت بورتون. “هذا، إلى حد ما، يُعتبر لوم الضحية، حيث يوجد اعتقاد بأن الأشخاص الذين يقعون ضحية للاحتيالات يستحقون بطريقة ما أن يتم خداعهم أكثر.”
“لذا، فإن سرقة معلومات بطاقتك الائتمانية عبر البرمجيات الضارة – حتى عندما تتطلب بعض الضغطة الغريبة على المفاتيح، مثل هجمات captcha/ClickFix المزيفة الحالية – تُعتبر بطريقة ما ‘أسوأ’ من إذا تم خداعك في تقديمها. التعليم في مجال الأمن السيبراني وزيادة الوعي لمعالجة الاحتيالات بنفس الجدية التي تُعالج بها البرمجيات الضارة هما طريقتان لمكافحة التكنولوجيا الإعلانية الخبيثة.
من المهم أن يكون المستخدمون على دراية بهذه التطبيقات المزيفة وطرق عملها لتجنب الوقوع في فخ الاحتيالات.
