Эти приложения уже списывают деньги с вашей карты. И Apple с Google снова ни при чём
NewsMakerLosPollos, TacoLoco, Adtrafico — за забавными именами скрывается мафия мобильного мошенничества.
Сложная инфраструктура мошеннической рекламной сети VexTrio Viper вновь оказалась в центре внимания после того, как специалисты по DNS-угрозам из Infoblox раскрыли подробности масштабной схемы с поддельными мобильными приложениями .
Под видом легальных сервисов — от VPN до утилит для очистки оперативной памяти, спам-фильтров и даже приложений знакомств — мошенники разместили вредоносные программы в официальных магазинах Apple и Google. Эти программы распространялись от имени якобы разных разработчиков, среди которых HolaCode, LocoMind, Hugmi, Klover Group и AlphaScale Media. Суммарное число загрузок — миллионы.
После установки такие приложения навязывали пользователям подписки с непрозрачными условиями, выманивали персональные данные, засыпали устройством агрессивной рекламой и усложняли удаление. Так, одно из приложений под названием Spam Shield block, маскирующееся под блокировщик спама, сразу же запрашивало оплату, а при отказе делало использование устройства невыносимым из-за рекламных вставок . Пользователи жаловались на недостоверную стоимость подписки, многократные списания и невозможность деинсталляции — действия, явно нацеленные на скрытый вывод средств под прикрытием.
Однако мобильные приложения — лишь верхушка айсберга. VexTrio управляет целой сетью мошеннических бизнесов, в том числе системами распределения интернет-трафика (TDS), которые перенаправляют пользователей со взломанных сайтов на подставные страницы. Эти TDS замаскированы через так называемые smartlinks — умные ссылки, которые не раскрывают финальный адрес до последнего момента и подстраиваются под жертву: её географию, тип устройства и браузер. Это позволяет обходить фильтры и затрудняет анализ со стороны специалистов.
В рамках данной схемы действуют и многочисленные компании-прокладки, в числе которых AdsPro Group, Teknology, LosPollos, TacoLoco и Adtrafico. Они работают по модели CPA (оплата за действие), выплачивая комиссию аффилиатам за каждое целевое действие пользователя — от нажатия кнопки до ввода банковских данных. Только LosPollos заявляла в 2024 году о 200 000 активных партнёрах и более 2 миллиардов уникальных пользователей в месяц.
Трафик, подведённый к этим ловушкам, изначально генерируется через взломанные сайты на WordPress с внедрённым вредоносным кодом. Через такие площадки мошенники распространяют фальшивые объявления — от лотерей до криптовалютных афер.
Интересно, что организация контролирует не только рекламную сторону, но и всю цепочку доставки: почтовые рассылки, обработку платёжных данных и валидацию почтовых адресов. Например, сервис DataSnap проверяет, действительны ли имейлы, а Pay Salsa занимается сбором платежей. Почтовый спам отправляется через поддельные домены, похожие на легитимные сервисы вроде SendGrid и MailGun.
Для сокрытия конечных доменов и обхода проверок используется сервис IMKLO, который фильтрует входящий трафик и определяет, стоит ли показывать обманную страницу или спрятать её от глаз проверяющих. Эта тонкая настройка делает кампанию почти неуловимой.
Авторы отчёта подчёркивают, что успех таких схем обеспечивается не только технической изощрённостью, но и правовой серой зоной: мошенники стараются избегать прямых вирусов и вредоносных действий, оставаясь в сфере обмана и социальной инженерии, где ответственность наступает реже.
Ключевая проблема данной угрозы — восприятие подобных схем как «менее опасных», чем заражение вредоносным ПО. Пока общественное внимание сосредоточено на троянах и эксплойтах, массовые мошенничества с подписками, кредитками и персональными данными остаются в тени. Развитие просвещения в области цифровой гигиены и переосмысление отношения к «мягким» аферам — одна из ключевых задач в борьбе с преступлениями подобного рода.
Сложная инфраструктура мошеннической рекламной сети VexTrio Viper вновь оказалась в центре внимания после того, как специалисты по DNS-угрозам из Infoblox раскрыли подробности масштабной схемы с поддельными мобильными приложениями .
Под видом легальных сервисов — от VPN до утилит для очистки оперативной памяти, спам-фильтров и даже приложений знакомств — мошенники разместили вредоносные программы в официальных магазинах Apple и Google. Эти программы распространялись от имени якобы разных разработчиков, среди которых HolaCode, LocoMind, Hugmi, Klover Group и AlphaScale Media. Суммарное число загрузок — миллионы.
После установки такие приложения навязывали пользователям подписки с непрозрачными условиями, выманивали персональные данные, засыпали устройством агрессивной рекламой и усложняли удаление. Так, одно из приложений под названием Spam Shield block, маскирующееся под блокировщик спама, сразу же запрашивало оплату, а при отказе делало использование устройства невыносимым из-за рекламных вставок . Пользователи жаловались на недостоверную стоимость подписки, многократные списания и невозможность деинсталляции — действия, явно нацеленные на скрытый вывод средств под прикрытием.
Однако мобильные приложения — лишь верхушка айсберга. VexTrio управляет целой сетью мошеннических бизнесов, в том числе системами распределения интернет-трафика (TDS), которые перенаправляют пользователей со взломанных сайтов на подставные страницы. Эти TDS замаскированы через так называемые smartlinks — умные ссылки, которые не раскрывают финальный адрес до последнего момента и подстраиваются под жертву: её географию, тип устройства и браузер. Это позволяет обходить фильтры и затрудняет анализ со стороны специалистов.
В рамках данной схемы действуют и многочисленные компании-прокладки, в числе которых AdsPro Group, Teknology, LosPollos, TacoLoco и Adtrafico. Они работают по модели CPA (оплата за действие), выплачивая комиссию аффилиатам за каждое целевое действие пользователя — от нажатия кнопки до ввода банковских данных. Только LosPollos заявляла в 2024 году о 200 000 активных партнёрах и более 2 миллиардов уникальных пользователей в месяц.
Трафик, подведённый к этим ловушкам, изначально генерируется через взломанные сайты на WordPress с внедрённым вредоносным кодом. Через такие площадки мошенники распространяют фальшивые объявления — от лотерей до криптовалютных афер.
Интересно, что организация контролирует не только рекламную сторону, но и всю цепочку доставки: почтовые рассылки, обработку платёжных данных и валидацию почтовых адресов. Например, сервис DataSnap проверяет, действительны ли имейлы, а Pay Salsa занимается сбором платежей. Почтовый спам отправляется через поддельные домены, похожие на легитимные сервисы вроде SendGrid и MailGun.
Для сокрытия конечных доменов и обхода проверок используется сервис IMKLO, который фильтрует входящий трафик и определяет, стоит ли показывать обманную страницу или спрятать её от глаз проверяющих. Эта тонкая настройка делает кампанию почти неуловимой.
Авторы отчёта подчёркивают, что успех таких схем обеспечивается не только технической изощрённостью, но и правовой серой зоной: мошенники стараются избегать прямых вирусов и вредоносных действий, оставаясь в сфере обмана и социальной инженерии, где ответственность наступает реже.
Ключевая проблема данной угрозы — восприятие подобных схем как «менее опасных», чем заражение вредоносным ПО. Пока общественное внимание сосредоточено на троянах и эксплойтах, массовые мошенничества с подписками, кредитками и персональными данными остаются в тени. Развитие просвещения в области цифровой гигиены и переосмысление отношения к «мягким» аферам — одна из ключевых задач в борьбе с преступлениями подобного рода.