Penyedia teknologi iklan jahat yang dikenal sebagai VexTrio Viper telah diamati mengembangkan beberapa aplikasi jahat yang telah dipublikasikan di etalase aplikasi resmi Apple dan Google dengan kedok aplikasi yang tampaknya berguna.
Aplikasi-aplikasi ini menyamar sebagai VPN, aplikasi "pemantau" perangkat, pembersih RAM, layanan kencan, dan pemblokir spam, kata perusahaan intelijen ancaman DNS Infoblox dalam analisis lengkap yang dibagikan kepada The Hacker News.
"Mereka merilis aplikasi dengan beberapa nama pengembang, termasuk HolaCode, LocoMind, Hugmi, Klover Group, dan AlphaScale Media," kata perusahaan tersebut. "Tersedia di Google Play dan Apple Store, aplikasi-aplikasi ini telah diunduh jutaan kali secara meyeluruh."
Setelah terpasang, aplikasi palsu ini menipu pengguna agar mendaftar langganan yang sulit dibatalkan, membanjiri mereka dengan iklan, dan memberikan informasi pribadi seperti alamat email. Perlu dicatat bahwa LocoMind sebelumnya ditandai oleh Cyjax sebagai bagian dari kampanye phishing yang menayangkan iklan palsu yang mengklaim perangkat mereka telah rusak.
Salah satu aplikasi Android tersebut adalah Spam Shield Block, yang mengaku sebagai pemblokir spam untuk pemberitahuan push tetapi, pada kenyataannya, mengenakan biaya beberapa kali kepada pengguna setelah meyakinkan mereka untuk mendaftar berlangganan.
"Langsung meminta uang, dan jika tidak, iklannya sangat mengganggu sampai-sampai saya menghapusnya bahkan sebelum sempat mencobanya," kata seorang pengguna dalam ulasan aplikasi tersebut di Google Play Store.
Ulasan lain berbunyi: "Aplikasi ini seharusnya seharga $14,99 per bulan. Selama bulan Februari, saya ditagih setiap minggu sebesar $14,99 yang berarti $70 per bulan/$720 per tahun. TIDAK LAYAK. Dan saya kesulitan menghapusnya. Mereka memberi tahu Anda satu harga, lalu mereka menagih Anda harga lain. Mereka mungkin berharap Anda tidak melihatnya. Atau sudah terlambat untuk mendapatkan pengembalian dana. Yang saya inginkan hanyalah sampah ini dari ponsel saya."
Bagaimana pelaku kejahatan siber memanfaatkan situs dan tautan pintar yang disusupi untuk mendapatkan uang
Temuan baru ini mengungkap skala perusahaan kriminal multinasional yaitu VexTrio Viper, yang mencakup pengoperasian layanan distribusi lalu lintas (TDSes) untuk mengalihkan lalu lintas internet dalam jumlah besar ke penipuan melalui jaringan periklanan mereka sejak 2015, serta mengelola pemroses pembayaran seperti Pay Salsa dan alat validasi email seperti DataSnap.
"VexTrio dan mitranya berhasil sebagian karena bisnis mereka dikaburkan," kata perusahaan itu. "Namun, sebagian besar kesuksesan mereka kemungkinan besar karena mereka tetap berpegang pada penipuan, karena mereka tahu risiko konsekuensinya lebih kecil."
VexTrio dikenal karena menjalankan apa yang disebut jaringan afiliasi komersial, yang bertindak sebagai perantara antara distributor malware yang, misalnya, telah membahayakan sekumpulan situs web WordPress dengan penyuntikan berbahaya (alias afiliasi penerbitan) dan pelaku ancaman yang mengiklankan berbagai skema penipuan mulai dari undian berhadiah hingga penipuan kripto (alias afiliasi periklanan).
TDS diduga dibuat oleh perusahaan cangkang bernama AdsPro Group, dengan tokoh-tokoh kunci di balik organisasi tersebut dari Italia, Belarus, dan Rusia yang terlibat dalam aktivitas penipuan setidaknya sejak tahun 2004, sebelum memperluas operasi mereka ke Bulgaria, Moldova, Rumania, Estonia, dan Ceko sekitar tahun 2015. Secara keseluruhan, lebih dari 100 perusahaan dan merek telah dikaitkan dengan VexTrio.
"Kelompok kejahatan terorganisir Rusia mulai membangun kerajaan di bidang teknologi iklan pada atau sekitar tahun 2015," ujar Dr. Renée Burton, VP Infoblox Threat Intel, kepada The Hacker News. "VexTrio adalah kelompok kunci dalam industri ini, tetapi ada kelompok lain. Semua jenis kejahatan siber, mulai dari penipuan kencan hingga penipuan investasi dan pencurian informasi, menggunakan teknologi iklan berbahaya, dan sebagian besar tidak terdeteksi."
Namun, yang membuat pelaku ancaman ini menonjol adalah kemampuannya mengendalikan sisi penerbitan dan periklanan jaringan afiliasi melalui jaringan luas perusahaan yang saling terkait seperti Teknology, Los Pollos, Taco Loco, dan Adtrafico. Pada Mei 2024, Los Pollos menyatakan memiliki 200.000 afiliasi dan lebih dari 2 miliar pengguna unik setiap bulan.
Penipuan ini, secara lebih luas, terjadi dengan cara ini: Pengguna yang tidak menaruh curiga dan membuka situs web yang sah namun terinfeksi akan diarahkan melalui TDS di bawah kendali VexTrio, yang kemudian mengarahkan pengguna ke halaman arahan penipuan. Hal ini dilakukan melalui tautan pintar yang menyembunyikan halaman arahan akhir dan menghalangi analisis.
Los Pollos dan Adtrafico keduanya merupakan jaringan biaya per tindakan (CPA) yang memungkinkan afiliasi penerbitan mendapatkan komisi ketika pengunjung situs melakukan tindakan yang diinginkan. Komisi ini bisa berupa menerima notifikasi situs web, memberikan detail pribadi, mengunduh aplikasi, atau memberikan informasi kartu kredit.
Adtrafico juga diketahui sebagai distributor spam utama yang menjangkau jutaan calon korban, memanfaatkan domain serupa dari layanan email populer seperti SendGrid ("sendgrid[.]rest") dan MailGun ("mailgun[.]fun") untuk memfasilitasi layanan tersebut.
Aspek penting lainnya adalah penggunaan layanan penyamaran seperti IMKLO untuk menyamarkan domain asli dan mengevaluasi kriteria seperti lokasi pengguna, jenis perangkat, peramban, dan kemudian menentukan jenis konten yang akan dikirimkan.
"Industri keamanan, dan sebagian besar dunia, saat ini lebih berfokus pada malware," kata Burton. "Dalam beberapa hal, ini seperti menyalahkan korban, di mana terdapat keyakinan bahwa orang yang tertipu memang pantas ditipu lebih sering."
Jadi, mencuri informasi kartu kredit Anda melalui malware – bahkan jika itu hanya memerlukan beberapa penekanan tombol yang konyol, seperti
serangan captcha/ClickFix palsu saat ini – entah bagaimana 'lebih buruk' daripada jika Anda ditipu untuk memberikannya. Edukasi keamanan siber dan kesadaran yang lebih tinggi untuk menangani penipuan dengan tingkat keparahan yang sama seperti malware adalah dua cara untuk memerangi adtech berbahaya.
No comments:
Post a Comment