VexTrio Viperとして知られる悪質な広告技術業者が、一見有用に見えるアプリとしてAppleおよびGoogleの公式アプリストアに公開された複数の悪質なアプリを開発していることが確認されています。
これらのアプリは、VPN、デバイスの「モニタリング」アプリ、RAMクリーナー、出会い系サービス、スパムブロッカーなどを装っていますが、DNS脅威インテリジェンス企業のInfobloxがThe Hacker Newsと共有した詳細な分析によると、実際は悪質なものです。
「彼らはHolaCode、LocoMind、Hugmi、Klover Group、AlphaScale Mediaなど、複数の開発者名義でアプリをリリースしました」と同社は述べています。「これらはGoogle PlayやAppleストアで公開されており、累計で数百万回ダウンロードされています。」
これらの偽アプリはインストールされると、ユーザーを解約が困難なサブスクリプションに登録させたり、広告を大量に表示したり、メールアドレスなどの個人情報を手放させたりします。なお、LocoMindは以前、Cyjaxによって、デバイスが損傷したと偽って広告を表示するフィッシングキャンペーンの一部として指摘されています。
そのようなAndroidアプリの一つがSpam Shield blockで、プッシュ通知のスパムブロッカーを装っていますが、実際にはユーザーをサブスクリプションに登録させて何度も課金します。
「すぐにお金を要求され、支払わないと広告があまりにも邪魔で、試す前にアンインストールしてしまいました」と、あるユーザーはGoogle Playストアのレビューで述べています。
別のレビューでは次のように書かれています。「このアプリは月額14.99ドルのはずなのに、2月の間、毎週14.99ドル請求され、月額70ドル/年額720ドルになります。全く価値がありません。アンインストールしようとしても問題が発生しています。最初は一つの価格を提示し、後から別の金額を請求してきます。おそらく、ユーザーが気づかないことを期待しているのでしょう。あるいは返金にはもう遅すぎるかもしれません。私が望むのは、このゴミをスマホから消すことだけです。」
 |
| 脅威アクターが侵害されたサイトやスマートリンクを利用して収益を得る仕組み |
今回の新たな発見は、VexTrio Viperという多国籍犯罪組織の規模を明らかにしています。彼らは2015年以降、広告ネットワークを通じて大量のインターネットトラフィックを詐欺サイトにリダイレクトするトラフィック配信サービス(TDS)を運営し、Pay Salsaのような決済処理業者やDataSnapのようなメールアドレス検証ツールも管理しています。
「VexTrioとそのパートナーが成功している理由の一つは、彼らのビジネスが巧妙に隠蔽されていることです」と同社は述べています。「しかし、より大きな成功要因は、詐欺に特化しており、リスクが比較的低い分野にとどまっているからでしょう。」
VexTrioは、商業アフィリエイトネットワークを運営していることで知られており、マルウェア配布者(例えば、WordPressサイトを悪質なインジェクトで侵害したパブリッシングアフィリエイト)と、懸賞詐欺から暗号通貨詐欺まで様々な詐欺スキームを広告する脅威アクター(アドバタイジングアフィリエイト)との仲介役を担っています。
TDSはAdsPro Groupというペーパーカンパニーによって作られたと考えられており、組織の中心人物はイタリア、ベラルーシ、ロシア出身で、少なくとも2004年から詐欺活動に関与し、2015年頃からブルガリア、モルドバ、ルーマニア、エストニア、チェコにも事業を拡大しています。全体で100社以上の企業やブランドがVexTrioに関連付けられています。
「ロシアの組織犯罪グループは2015年頃から広告技術分野で帝国を築き始めました」とInfoblox Threat IntelのVP、Dr. Renée Burton氏はThe Hacker Newsに語っています。「VexTrioはこの業界の主要なグループですが、他にもグループは存在します。出会い系詐欺から投資詐欺、情報窃取まで、あらゆるサイバー犯罪が悪質なアドテックを利用しており、ほとんど気づかれていません。」
しかし、この脅威アクターが特筆すべきなのは、Teknology、Los Pollos、Taco Loco、Adtraficoなど多数の関連企業を通じて、アフィリエイトネットワークのパブリッシング側と広告側の両方を支配していることです。2024年5月、Los Pollosは20万のアフィリエイトと毎月20億人以上のユニークユーザーがいると発表しました。
これらの詐欺は、より広い意味で次のように展開されます。正規だが感染したサイトにアクセスした無防備なユーザーが、VexTrioの管理下にあるTDSを経由して詐欺のランディングページに誘導されます。これは、最終的なランディングページを隠し、分析を困難にするスマートリンクによって実現されています。
Los PollosやAdtraficoはいずれもコスト・パー・アクション(CPA)ネットワークであり、パブリッシングアフィリエイトはサイト訪問者が意図したアクションを実行すると報酬を得られます。これには、ウェブサイトの通知を許可する、個人情報を提供する、アプリをダウンロードする、クレジットカード情報を入力するなどが含まれます。
また、SendGrid(「sendgrid[.]rest」)やMailGun(「mailgun[.]fun」)などの有名メールサービスの類似ドメインを活用し、数百万の潜在的被害者にリーチする大規模なスパム配信業者でもあることが判明しています。
もう一つ重要な点は、IMKLOのようなクラッキングサービスを使い、実際のドメインを隠し、ユーザーの位置情報、デバイスの種類、ブラウザなどの条件を評価して、配信するコンテンツの内容を正確に決定していることです。
「セキュリティ業界、そして世界の多くは、今はマルウェアにより注目しています」とBurton氏は述べています。「これはある意味、被害者非難であり、詐欺に引っかかる人は自業自得だという考えが根底にあります。」
「たとえば、現在の偽キャプチャ/ClickFix攻撃のように、マルウェア経由でクレジットカード情報を盗まれる場合、どんなに不自然な操作が必要でも、詐欺で自分から情報を渡してしまうより『悪質』とみなされがちです。サイバーセキュリティ教育や、詐欺もマルウェアと同じ重大さで扱う意識の向上が、悪質なアドテック対策の二つの方法です。」
翻訳元: https://thehackernews.com/2025/08/fake-vpn-and-spam-blocker-apps-tied-to.html