تطبيقات VPN الوهمية وحظر الرسائل المزعجة المرتبطة بـ VexTrio المستخدمة في الاحتيال الإعلاني
تم رصد مزود التقنية الإعلانية الضارة المعروف باسم VexTrio Viper وهو يقوم بتطوير عدة تطبيقات ضارة تم نشرها على المتاجر الرسمية لأبل وجوجل تحت ستار تطبيقات تبدو مفيدة.
تتظاهر هذه التطبيقات بأنها VPNs، وتطبيقات “مراقبة” الأجهزة، ومنظفات الذاكرة، وخدمات المواعدة، وحواجز الرسائل المزعجة، كما أفادت شركة إنفوبلوكس في تحليل شامل شاركته مع The Hacker News.
“لقد أطلقوا تطبيقات تحت عدة أسماء مطورين، بما في ذلك HolaCode وLocoMind وHugmi وKlover Group وAlphaScale Media،” كما قالت الشركة. “متاحة في متجر جوجل بلاي ومتجر أبل، وقد تم تحميلها ملايين المرات مجتمعة.”
تقوم هذه التطبيقات الوهمية، بمجرد تثبيتها، بخداع المستخدمين للتسجيل في اشتراكات يصعب إلغاؤها، وتغمرهم بالإعلانات، وتجمع معلومات شخصية مثل عناوين البريد الإلكتروني. ومن الجدير بالذكر أن LocoMind تم الإبلاغ عنها سابقًا من قبل Cyjax كجزء من حملة تصيد تخدم إعلانات تدعي زيفًا أن أجهزتهم قد تضررت.
تطبيق Spam Shield Block
أحد التطبيقات على أندرويد هو Spam Shield Block، الذي يدعي أنه حظر الرسائل المزعجة للإشعارات، ولكنه في الواقع يفرض على المستخدمين رسومًا متعددة بعد إقناعهم بالتسجيل في اشتراك.
“يسأل عن المال على الفور، وإذا لم تدفع، فإن الإعلانات مزعجة لدرجة أنني قمت بإلغاء تثبيته قبل أن أتمكن حتى من تجربته،” قال أحد المستخدمين في مراجعة للتطبيق على متجر جوجل بلاي.
مراجعة أخرى قالت: “هذا التطبيق من المفترض أن يكلف 14.99 دولارًا في الشهر. خلال شهر فبراير، تم تحميلي أسبوعيًا بمبلغ 14.99 دولارًا، مما يصل إلى 70 دولارًا شهريًا / 720 دولارًا سنويًا. ليس يستحق ذلك. ولدي مشاكل في محاولة إلغاء تثبيته. يخبرونك بسعر واحد ثم يتراجعون ويشحنونك شيئًا آخر. ربما يأملون أنك لن تراه. أو سيكون قد فات الأوان للحصول على استرداد. كل ما أريده هو إزالة هذا القمامة من هاتفي.”
كيف يستغل المهاجمون المواقع المخترقة والروابط الذكية لكسب المال
تظهر النتائج الجديدة نطاق المؤسسة الإجرامية متعددة الجنسيات التي تُعرف باسم VexTrio Viper، والتي تشمل تشغيل خدمات توزيع الحركة (TDSes) لإعادة توجيه كميات ضخمة من حركة الإنترنت إلى الاحتيالات من خلال شبكاتهم الإعلانية منذ عام 2015، بالإضافة إلى إدارة معالجات الدفع مثل Pay Salsa وأدوات التحقق من البريد الإلكتروني مثل DataSnap.
“تنجح VexTrio وشركاؤها جزئيًا لأن أعمالهم غير واضحة،” كما قالت الشركة. “لكن جزءًا أكبر من نجاحهم من المحتمل أنه بسبب التزامهم بالاحتيال، حيث يعرفون أن هناك مخاطر أقل من العواقب.”
تشتهر VexTrio بتشغيل ما يُعرف بشبكة الشركاء التجارية، حيث تعمل كوسيط بين موزعي البرمجيات الضارة الذين قاموا، على سبيل المثال، باختراق مجموعة من مواقع ووردبريس باستخدام حقن ضارة (المعروفة أيضًا بالشركاء الناشرين) والمهاجمين الذين يعلنون عن مخططات احتيالية متنوعة تتراوح من السحوبات إلى الاحتيالات المتعلقة بالعملات المشفرة (المعروفين أيضًا بالشركاء المعلنين).
تم تقييم أن TDS تم إنشاؤه بواسطة شركة وهمية تُدعى AdsPro Group، مع وجود شخصيات رئيسية وراء المنظمة من إيطاليا وبيلاروسيا وروسيا، تشارك في أنشطة احتيالية منذ عام 2004 على الأقل، قبل توسيع عملياتها إلى بلغاريا ومولدوفا ورومانيا وإستونيا وجمهورية التشيك حوالي عام 2015. بشكل عام، تم ربط أكثر من 100 شركة وعلامة تجارية بـ VexTrio.
“بدأت مجموعات الجريمة المنظمة الروسية في بناء إمبراطورية داخل تقنية الإعلانات بدءًا من عام 2015 تقريبًا،” قالت الدكتورة رينيه بورتون، نائبة رئيس إنفوبلوكس للذكاء التهديدي، لـ The Hacker News. “تُعتبر VexTrio مجموعة رئيسية ضمن هذه الصناعة، لكن هناك مجموعات أخرى. جميع أنواع الجرائم الإلكترونية، من الاحتيالات في المواعدة إلى الاحتيالات الاستثمارية وسرقة المعلومات تستخدم تقنيات الإعلانات الضارة، وغالبًا ما تمر دون أن يلاحظها أحد.”
لكن ما يجعل المهاجم ملحوظًا هو أنه يتحكم في كلا الجانبين من الشبكات التابعة من خلال شبكة واسعة من الشركات المترابطة مثل Teknology وLos Pollos وTaco Loco وAdtrafico. في مايو 2024، قالت Los Pollos إنها تضم 200,000 شريك و2 مليار مستخدم فريد كل شهر.
تتجلى الاحتيالات بشكل أوسع على النحو التالي: المستخدمون غير المشتبه بهم الذين يصلون إلى موقع شرعي ولكنه مصاب يتم توجيههم عبر TDS تحت سيطرة VexTrio، مما يؤدي بهم إلى صفحات هبوط احتيالية. يتم تحقيق ذلك بواسطة رابط ذكي يخفي الصفحة النهائية ويعيق التحليل.
تُعتبر Los Pollos وAdtrafico شبكات تكلفة لكل إجراء (CPA) تسمح للشركاء الناشرين بكسب عمولة عندما يقوم زائر الموقع بإجراء معين. يمكن أن يكون ذلك قبول إشعار من موقع ويب، أو تقديم تفاصيلهم الشخصية، أو تنزيل تطبيق، أو تقديم معلومات بطاقة الائتمان.
لقد وُجد أيضًا أنها موزع رئيسي للرسائل المزعجة التي تصل إلى ملايين الضحايا المحتملين، مستغلة نطاقات مشابهة لخدمات البريد الشهيرة مثل SendGrid (“sendgrid[.]rest”) وMailGun (“mailgun[.]fun”) لتسهيل الخدمة.
جانب آخر مهم هو استخدام خدمات التمويه مثل IMKLO لإخفاء النطاقات الحقيقية وتقييم معايير مثل موقع المستخدم ونوع جهازه ومتصفحه، ثم تحديد طبيعة المحتوى الذي سيتم تقديمه.
“تركز صناعة الأمن، وكثير من العالم، أكثر على البرمجيات الضارة في الوقت الحالي،” قالت بورتون. “هذا في بعض النواحي لوم الضحية، حيث يوجد اعتقاد بأن الأشخاص الذين يقعوا ضحية للاحتيالات يستحقون بطريقة ما أن يتم احتيالهم أكثر.”
“لذا، فإن سرقة معلومات بطاقة الائتمان الخاصة بك عبر البرمجيات الضارة – حتى عندما تتطلب بعض الضغطة الغريبة على المفاتيح، مثل الهجمات الحالية المزيفة captcha/ClickFix – تُعتبر بطريقة ما ‘أسوأ’ من إذا تم خداعك لإعطائها. التعليم في مجال الأمن السيبراني وزيادة الوعي لعلاج الاحتيالات بنفس خطورة البرمجيات الضارة هما طريقتان لمكافحة تقنية الإعلانات الضارة.”
