El notorio Sistema de Distribución de Tráfico Vextrio (TDS) ha ampliado sus operaciones cibercriminales más allá de las estafas tradicionales basadas en la web para incluir el desarrollo y la distribución de aplicaciones móviles maliciosas diseñadas para disfrazarse como servicios de VPN legítimos.
.
Este sofisticado actor de amenaza, que ha mantenido una presencia dominante en el ecosistema publicitario malicioso desde 2015, ahora está aprovechando las tiendas de aplicaciones para ofrecer software fraudulento directamente a usuarios móviles desprevenidos en todo el mundo.
La estrategia de aplicaciones móviles de Vextrio representa una evolución significativa en su metodología de ataque, pasando de sitios web comprometidos y campañas de spam para dirigir la distribución de la tienda de aplicaciones.
El grupo de amenazas ha desarrollado múltiples aplicaciones falsas que se plantean como herramientas de seguridad, incluidos los servicios de VPN y los optimizadores del sistema, que luego se envían a las principales plataformas de distribución de aplicaciones.
Vextrios Origins (Fuente – Informlox)
Estas aplicaciones maliciosas sirven como vehículos para los mismos esquemas fraudulentos que han hecho que Vextrio sea infame en la comunidad de ciberseguridad, incluidas las estafas de citas, el fraude de criptomonedas y el abuso de notificaciones push.
A través de su compañía subsidiaria Locomind, que opera bajo el paraguas de Aperito más amplio, Vextrio ha creado una infraestructura de desarrollo de aplicaciones capaz de producir y mantener múltiples aplicaciones fraudulentas simultáneamente.
Analistas de infoBlox identiFida Ese Locomind ha sido responsable de desarrollar al menos siete aplicaciones maliciosas diferentes, incluidas varios clientes VPN y herramientas de servicios de sistemas comercializados como soluciones de seguridad para dispositivos móviles.
Las ofertas móviles insignia del grupo incluyen FastVPN y varias variantes de herramientas de optimización del sistema disfrazadas de “limpiadores de ram” y refuerzos de rendimiento.
.
Estas aplicaciones, aunque aparecen legítimas en los listados de App Store, contienen un código integrado que redirige a los usuarios a la infraestructura TDS establecida de Vextrio una vez instalada.
.
Las aplicaciones utilizan técnicas de ofuscación sofisticadas para evitar la detección mediante sistemas de escaneo de seguridad automatizados empleados por las tiendas de aplicaciones.
Mecanismo de infección e integración de TDS
Las aplicaciones móviles de Vextrio emplean un proceso de infección en varias etapas que se integra perfectamente con su infraestructura TDS existente.
Tras la instalación, las aplicaciones maliciosas funcionan inicialmente como se anuncia, proporcionando características básicas de conectividad VPN o optimización del sistema para evitar la sospecha inmediata del usuario.
Sin embargo, incrustados dentro del código de aplicación son los mecanismos de seguimiento que perfilan el dispositivo, la ubicación y los patrones de uso del usuario del usuario.
Las aplicaciones se comunican con los servidores de comando y control de Vextrio utilizando canales cifrados que imitan las solicitudes de actualización de aplicaciones legítimas.
Gráfico de datos del norte que muestra la relación entre el grupo ADSPRO, otras entidades e individuos (Fuente – Informlox)
Una vez que se han recopilado suficientes datos de perfiles de usuarios, las aplicaciones comienzan a mostrar anuncios y notificaciones fraudulentas que parecen originarse en el sistema operativo del dispositivo en lugar de la aplicación instalada.
Esta técnica, conocida como secuestro de notificaciones, permite que Vextrio mantenga la persistencia incluso cuando los usuarios no están utilizando activamente la aplicación fraudulenta.
El código malicioso dentro de estas aplicaciones incluye mecanismos de evasión sofisticados diseñados para detectar entornos de análisis y herramientas de investigadores de seguridad.
Cuando se ejecutan en sospechosos sistemas de análisis, las aplicaciones vuelven al comportamiento benigno, mostrando solo una funcionalidad legítima mientras permanecen latentes.
Esta capacidad anti-análisis ha permitido a las aplicaciones maliciosas de Vextrio mantener períodos de residencia extendidos en las principales plataformas de distribución de aplicaciones antes de la detección y eliminación.
La expansión móvil de Vextrio demuestra la adaptabilidad y la sofisticación técnica del grupo, que representa una evolución preocupante en sus capacidades operativas.
La integración de la distribución de malware móvil con su infraestructura TDS establecida crea nuevos vectores de ataque con los que los profesionales de ciberseguridad deben prepararse para defenderse, ya que los esquemas de fraude móviles continúan proliferando a través de los ecosistemas globales de aplicaciones.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
