08/08/25
Под видом обычных приложений — от VPN до интсрументов для очистки оперативной памяти, спам-чистильщиков и даже приложений знакомств — мошенники разместили вредоносные программы в официальных магазинах Apple и Google. Эти программы распространялись от имени якобы разных разработчиков, среди которых HolaCode, LocoMind, Hugmi, Klover Group и AlphaScale Media. Суммарное число загрузок — миллионы, пишут Securitylab.
После установки такие приложения навязывали пользователям подписки с непрозрачными условиями, выманивали персональные данные, засыпали устройством агрессивной рекламой и усложняли удаление. Так, одно из приложений под названием Spam Shield block, маскирующееся под блокировщик спама, сразу же запрашивало оплату, а при отказе делало использование устройства невыносимым из-за рекламных вставок . Пользователи жаловались на недостоверную стоимость подписки, многократные списания и невозможность деинсталляции — действия, явно нацеленные на скрытый вывод средств под прикрытием.
Однако мобильные приложения — лишь верхушка айсберга. VexTrio управляет целой сетью мошеннических бизнесов, в том числе системами распределения интернет-трафика (TDS), которые перенаправляют пользователей со взломанных сайтов на подставные страницы. Эти TDS замаскированы через так называемые smartlinks — умные ссылки, которые не раскрывают финальный адрес до последнего момента и подстраиваются под жертву: её географию, тип устройства и браузер. Это позволяет обходить фильтры и затрудняет анализ со стороны специалистов.
В рамках данной схемы действуют и многочисленные компании-прокладки, в числе которых AdsPro Group, Teknology, LosPollos, TacoLoco и Adtrafico. Они работают по модели CPA (оплата за действие), выплачивая комиссию аффилиатам за каждое целевое действие пользователя — от нажатия кнопки до ввода банковских данных. Только LosPollos заявляла в 2024 году о 200 000 активных партнёрах и более 2 миллиардов уникальных пользователей в месяц.
Через такие площадки мошенники распространяют фальшивые объявления — от лотерей до криптовалютных афер.
Интересно, что организация контролирует не только рекламную сторону, но и всю цепочку доставки: почтовые рассылки, обработку платёжных данных и валидацию почтовых адресов. Например, сервис DataSnap проверяет, действительны ли имейлы, а Pay Salsa занимается сбором платежей. Почтовый спам отправляется через поддельные домены, похожие на легитимные сервисы вроде SendGrid и MailGun.
Для сокрытия конечных доменов и обхода проверок используется сервис IMKLO, который фильтрует входящий трафик и определяет, стоит ли показывать обманную страницу или спрятать её от глаз проверяющих. Эта тонкая настройка делает кампанию почти неуловимой.
Авторы отчёта подчёркивают, что успех таких схем обеспечивается не только технической изощрённостью, но и правовой серой зоной: мошенники стараются избегать прямых вирусов и вредоносных действий, оставаясь в сфере обмана и социальной инженерии, где ответственность наступает реже.
