Un técnico publicitario malicioso conocido como Vextrio Viper ha desarrollado varias aplicaciones maliciosas publicadas en Apple y la tienda de aplicaciones oficial de Google, y se está desarrollando bajo la apariencia de aplicaciones aparentemente útiles.
Estas aplicaciones pretenden ser VPN, aplicaciones de dispositivos, limpiadores de RAM, servicios de citas y bloqueadores de spam. La firma de DNSthreatIntelligence Informlox dice en un análisis exhaustivo compartido con Hacker News.
«Lanzaron aplicaciones bajo varios nombres de desarrolladores, incluidos Holacode, Mocomind, Hugmi, Klover Group y Alphascale Media», dijo la compañía. «Está disponible en Google Play y Apple Store, y estos se han descargado en un total de millones de veces».
Una vez instaladas, estas aplicaciones falsas se registrarán en suscripciones que los usuarios encuentran difíciles de cancelar, inundados con anuncios, información personal separada, como direcciones de correo electrónico. Vale la pena señalar que Mocomind fue marcado previamente por Cyjax como parte de una campaña de phishing que ofrece anuncios que afirman falsamente que el dispositivo está dañado.
Una de esas aplicaciones de Android es el bloque de escudo de spam. Afirma ser un bloqueador de spam para las notificaciones push, pero en realidad, cobra a los usuarios varias veces después de persuadirlos para que se registren para obtener una suscripción.
«Pediremos dinero de inmediato, o los anuncios son muy destructivos y los desinstalamos antes de probarlos», dijo un usuario en una revisión de la aplicación en Google Play Store.
Otra revisión es: «Esta aplicación debería ser de $ 14.99 al mes. En febrero, se facturó semanalmente a $ 14.99, que sería de $ 70 por mes/$ 720 por año/$ 720 por año. No hay problemas para tratar de desinstalarlo. Teléfono».
Cómo las amenazas Los actores pueden ganar dinero utilizando sitios comprometidos y SmartLinks
Los nuevos hallazgos alzan el tamaño de las empresas criminales multinacionales, incluidos numerosos servicios de distribución de tráfico (TDSE), incluidos numerosos servicios de distribución de tráfico (TDSE), incluidos los servicios extensos de distribución de tráfico (TDSE), desde 2015, fraudulentamente a través de las redes AD desde 2015, y administrar la gestión de procesadores de pago como herramientas de verificación por correo electrónico como salsa de pago y data de datos.
«Vextrio y sus socios han tenido éxito en parte porque su negocio está ofuscado», dijo la compañía. «Pero la mayor parte de su éxito es porque saben que están atrapados en fraude y, por lo tanto, tienen menos riesgo de consecuencias».
Se sabe que Vextrio ejecuta lo que se llama redes de afiliados comerciales y actúa como intermediario entre, por ejemplo, distribuidores de malware que han comprometido una colección de sitios web de WordPress con inyecciones maliciosas y distribuidores de malware que han comprometido una colección de activos de amenazas que han promovido varios esquemas de fraudulentes.
TDS está calificado como creado por una compañía Shell llamada ADSPro Group, y las cifras clave detrás de las organizaciones en Italia, Bielorrusia y Rusia han ampliado operaciones en Bulgaria, Moldavia, Rumania, Estonia y la República Checa desde al menos 2004, y se ha vinculado a más de 100 compañías y marcas en 2015.
«Los grupos de delitos organizados rusos comenzaron a comenzar a construir imperios en tecnología de publicidad alrededor de 2015», dijo el Dr. Renée Burton, vicepresidente de Informlox Amenaza Intel, a Hacker News. «Vextrio es un grupo importante dentro de esta industria, pero hay otros grupos. Desde estafas de citas hasta estafas de inversión y robos de información, todo tipo de delitos cibernéticos usan adtech malicioso y apenas se notan».
Pero lo notable de los actores de amenazas es el control tanto del editor como de la publicidad de las redes de afiliados a través de una vasta red de empresas entrelazadas como Technology, Los Pollos, Taco Loco y Adrafico. En mayo de 2024, Los Poltos dijo que tenía 200,000 afiliados y más de 2 mil millones de usuarios únicos cada mes.
Se desarrolla más fraude ampliamente de esta manera. Los usuarios que son legales pero desprevenidos para aterrizar en sitios infectados se enrutarán a través de TD bajo el control de Vextrio, lo que lleva a los usuarios a páginas de destino fraudulentas. SmartLink logra esto, que se extiende a través de la página de destino final y dificulta el análisis.
Tanto Los Pollos como el Adrafico son redes de costo por acción (CPA) que permiten a los afiliados públicos ganar tarifas cuando los visitantes del sitio realizan sus acciones previstas. Esto puede permitirle aceptar avisos en el sitio web, proporcionar información personal, descargar aplicaciones o proporcionar información de tarjeta de crédito.
También se sabe que es un distribuidor líder de spam que alcanza millones de víctimas potenciales, y aprovechará dominios como la aparición de servicios de correo electrónico populares como SendGrid («SendGrid (.) REST») y Mailgun («Mailgun (.) Diversión») para promover los servicios.
Otro aspecto importante es utilizar servicios de encubrimiento como Imkuro para ocultar dominios reales, evaluar criterios como la ubicación del usuario, el tipo de dispositivo, el navegador, etc., y determinar la naturaleza exacta del contenido que se entrega.
«La industria de la seguridad, y la mayoría del mundo, ahora están más centradas en el malware», dijo Burton. «En cierto modo, esta es la crítica de una víctima, y creo que aquellos que caen en fraude de alguna manera merecen más fraude».
«Por lo tanto, robar la información de la tarjeta de crédito a través del malware es de alguna manera» malo «que ser invitado a darse por vencido, incluso si desea un estúpido golpe de llaves como el actual ataque falso de Captcha/ClickFix. La educación de seguridad cibernética y una mayor conciencia para tratar el fraude de la misma gravedad que el malware es una forma maliciosa de hacer las cosas.
Source link
