Vextrio olarak bilinen sofistike bir siber suçlu kuruluş, aldatıcı captcha robotları ve Google Play ve App Store’a dağıtılan kötü amaçlı uygulamalar aracılığıyla büyük bir sahtekarlık imparatorluğunu düzenliyor.
15 yılı aşkın bir süredir faaliyet gösteren bu suç ağı, meşru uygulama mağazalarına, toplu olarak bir milyondan fazla indirme alan hileli yazılımlarla başarılı bir şekilde sızarken, aynı zamanda dünya çapında milyonlarca kullanıcıyı hedefleyen kapsamlı spam kampanyaları yürütüyor.
Vextrio’nun arkasındaki tehdit aktörleri, kullanıcı verilerini hasat etmek ve abonelik sahtekarlığı yoluyla gelir elde etmek için sahte captcha doğrulama sistemlerini kötü amaçlı mobil uygulamalarla birleştiren çok yönlü bir saldırı stratejisi kullanıyor.
Kötü şöhretli robot captcha, kullanıcılara “İnsan olduğunuzu doğrulamak için ‘İzin Ver’ düğmesine basın!” Gibi mesajlar gönderir. daha geniş cezai ekosistemlerine bir kapı görevi görür.
Bu aldatıcı arayüz vextrio operasyonlarıyla eş anlamlı hale geldi ve yıllar boyunca çok sayıda güvenlik raporunda belgelendi.
Vextrio’nun operasyonları, flört, kripto para birimi ve çekiliş dolandırıcılığı gibi birden fazla sektörde hileli içerik sunan kapsamlı bir trafik dağıtım sistemini (TDS) kapsayan basit spam’in çok ötesine uzanır.
.webp)
Infoblox analistleri, kuruluşun akıllı bağlantıları aracılığıyla teslim edilen açılış sayfalarının çoğunu kontrol ettiğini ve bağlı kuruluş ağ operasyonlarından iki kat fayda sağladığını belirledi.
Grubun altyapısı, meşru iş ve siber suçlar arasındaki çizgileri bulanıklaştıran karmaşık bir kabuk şirketi ve teknik ortaklık ağını ortaya koyuyor.
Ceza organizasyonu, meşru hizmetler olarak maskelenen kapsamlı bir kötü amaçlı uygulamalar portföyü geliştirmiştir.
Uygulama kataloğunda sahte VPN’ler, cihaz izleme araçları, spam engelleyiciler ve holacode, locomind, hugmi, klover grubu ve alphascale medya dahil olmak üzere çeşitli geliştirici adları altında yayınlanan buluşma uygulamaları bulunmaktadır.
.webp)
Bu uygulamalar, müdahaleci reklamlarla bombalanırken, şüphesiz kullanıcılardan abonelik ücretlerini çıkarmak için sofistike sosyal mühendislik teknikleri kullanır.
Enfeksiyon mekanizması ve kalıcılık taktikleri
Vextrio’nun mobil uygulamaları, kötü niyetli davranışlara geçmeden önce görünüşte meşru işlevsellikle başlayan özenle düzenlenmiş bir enfeksiyon zinciri kullanır.
Spam engelleyici uygulamaları Spam Shield, fabrikasyon güvenlik raporlarını görüntülerken başlangıçta temel bildirim engelleme hizmetlerini sağlayarak bu yaklaşımı örneklendirir.
Uygulama, kullanıcılara engellenmiş spam ve kötü niyetli bildirimler gösteren sahte izleme arayüzleri sunar ve abonelik ücretlerini haklı çıkaran bir koruma yanılsaması oluşturur.
Teknik uygulama, kötü niyetli uygulamaları Vextrio’nun altyapısına bağlayan DNS kayıtlarını ortaya koymaktadır.
DNS analizi, IP adresinin 136.243.216.249’un aynı anda Holacode, ADSPRO Digital, LOS Pollos ve birden fazla aldatmaca uygulamasını barındırdığını ve operasyonlarının birbirine bağlı doğasını gösterdiğini göstermektedir.
Uygulamalar, VPN hizmetleri olarak gizlenmiş konut proxy ağlarını kullanır ve kullanıcı trafiği proxy altyapılarının bir parçası haline geldikçe önemli gizlilik kaygıları sağlar.
Vextrio’nun kalıcılık stratejisi, hileli hizmetlerin tüm ekosistemini kapsamak için bireysel uygulamaların ötesine uzanır.
E -posta pazarlama operasyonları, SendGrid ve MailGun gibi yerleşik hizmetlerin, Sendgrid.Rest ve MailGun.fun gibi alan adlarıyla, IP adresinde 78.47.103.187 numaralı telefondan posta sunucularına yetki veren belirli SPF kayıtlarıyla yapılandırılmış alanları kullanır.
Bu altyapı, kurbanları uygulama ekosistemine besleyen büyük spam kampanyalarını destekleyerek, kuruluşun on yıldan fazla bir süredir cezasız kalmasını sağlayan kendi kendini güçlendiren bir sahtekarlık döngüsü oluştururken, abonelik dolandırıcılığı ve veri toplama yoluyla önemli bir ceza karı üretir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.