Büyük bir trafik dağıtım sistemi (TDS) çalıştırdığı bilinen sofistike bir tehdit aktörü olan Vextrio, Google Play ve Apple App Store da dahil olmak üzere büyük uygulama mağazalarına sahte VPN uygulamaları dağıtarak kötü niyetli faaliyetlerini genişletti.
2020 civarında İtalyan spam göndericileri ve Doğu Avrupalı geliştiriciler arasındaki birleşmeden kaynaklanan Vextrio’nun TDS’si, tehlike yazılımı, kripto para dolandırıcılığı ve aldatıcı mobil uygulamalar dahil olmak üzere web trafiğinin uzlaşmış sitelerden hileli uç noktalara yönlendirilmesini kolaylaştırıyor.
Vextrio’nun siber suç ağının evrimi
Grubun altyapısı, kurşun geçirmez barındırma sağlayıcılarını ve bulut hizmetlerini kapsıyor, dünya çapında milyonlarca kullanıcıyı etkileyen yüksek hacimli operasyonları destekliyor ve alan adları Temmuz 2025 itibariyle dünya çapında en popüler 10.000’de yer alıyor.
Bu evrim, Vextrio’nun spam merkezli taktiklerden entegre Adtech sahtekarlığına geçişini vurgulayarak, kara şapka trafik kaynaklarından para kazanmak için Los Pollos ve Tacoloco gibi bağlı kuruluş ağlarından yararlanıyor.
Kötü niyetli VPN uygulamalarının dağıtılması, FastVPN gibi görünüşte meşru uygulamaların, kullanıcı verilerini hasat etmek ve trafiği TDS ekosistemine huni yapmak için tasarlandığı Vextrio’nun taktiklerinde kritik bir artışı temsil eder.
Apperito ve Locomind gibi varlıklar altında geliştirilen bu uygulamalar, Masquerade, RAM temizleme ve şifreli tarama vaat eden güvenlik araçları olarak, ancak bunun yerine coğrafi konum, cihaz parmak izleri ve davranışsal kalıplara dayalı olarak profil veren izleme mekanizmalarını gömmektedir.
Kurulduktan sonra, uygulamalar ağ trafiğini müdahale etmek için izinlerden yararlanır ve kullanıcıları, push bildirim kötüye kullanımı ve kredi kartı gönderme teklifleri de dahil olmak üzere kullanıcıları hareket başına maliyet (EBM) dolandırıcılarına yönlendiren akıllı bağlantılar enjekte eder.
Tarihsel analiz, 2024 yılına kadar 500.000’den fazla indirme ve 50.000 aktif kullanıcıya sahip, zehirli SEO sonuçları ve tehlikeye atılan WordPress siteleri ile elde edilen 500.000’den fazla indirme ve 50.000 aktif kullanıcıya sahip en az yedi uygulamayı ortaya koyuyor.
Teknik mekanizmalar
Teknik olarak, Vextrio’nun VPN uygulamaları, NXT-PSH gibi alan adları aracılığıyla temel TD’leriyle entegre olur[.]Com, bu da kullanıcıları ayarlanabilir saldırganlık parametrelerine sahip bildirim izinleri için tekrar tekrar isteyerek itme parasallaştırmayı işler.
Bu, kurbanları Clickbait ile bombardıman, IVR tekliflerine veya boş CC’nin sunumlarına yol açan, bağlı kuruluşların Nutra takviyeleri veya antivirüs dolandırıcılığı gibi yüksek değerli sahtekarlık için kurşun başına 100 doları aşan ödemeler kazandığı boşluk yaratır.
Uygulamaların arka ucu, AS203639 kapsamında İsviçre ile barındırılan IP aralıklarına ve ilk olarak İtalyan kurucular tarafından datasnap gibi araçlar aracılığıyla kripto sahtekarlığı ve e-posta doğrulama hizmetleri için yeniden tasarlanmış olan benzer özerk sistemlere bağlanıyor.
Meşru Adtech cephelerini siyah şapka bağlantılarıyla harmanlayarak, Vextrio, Black Hat World gibi forumlar aracılığıyla iştirakleri incelerken makul bir inkar edilebilirliği korur ve sadece deneyimli bilgisayar korsanlarının canlı akıllı bağlantılara erişmesini sağlar.
Rapora göre, Vextrio’nun operasyonları 2028 yılına kadar öngörülen 172 milyar ABD doları dijital sahtekarlık maliyetlerine katkıda bulunduğundan, etkiler bireysel dolandırıcılıkların ötesine uzanıyor ve sadece yatırım dolandırıcılığı 2024’te ABD kurbanlarından 16,6 milyar ABD Doları netleştiriyor.
Avrupa ve ötesinde yaklaşık 100 varlığı içeren kıvrımlı kurumsal yapıları, 2022’de tehlikeye atılan sitelerdeki varlıklarını 2024’te% 50’den% 40’a düşüren endüstri çabalarına rağmen, atıf ve yayından kaldırma işlemlerini zorlaştırıyor.
Güvenlik araştırmacıları, grup çeşitli aldatmaca açılış sayfaları için smartrotasyon gibi özelliklerle yenilik yapmaya devam ettiğinden, VEXTRIO’nun TDS’sini bozmak için gelişmiş App Store Veteriner ve DNS tabanlı engelleme ihtiyacını vurgulamaktadır.
Vextrio, çevrimiçi ayak izini dezavantajlarından arındırıldığından, Doğu Avrupa kalkınma merkezlerinin ve İsviçre merkezlerinin devam eden izlenmesi bu yaygın tehdidi engellemek için gereklidir.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir