Una organización cibercriminal sofisticada conocida como Vextrio ha estado orquestando un imperio de fraude masivo a través de robots captcha engañosos y aplicaciones maliciosas distribuidas en Google Play y la App Store.
Esta red criminal, que opera durante más de 15 años, se ha infiltrado con éxito en tiendas de aplicaciones legítimas con software fraudulento que ha obtenido colectivamente más de un millón de descargas, al tiempo que realiza extensas campañas de spam dirigidas a millones de usuarios en todo el mundo.
Los actores de amenaza detrás de Vextrio emplean una estrategia de ataque múltiple que combina sistemas falsos de verificación de Captcha con aplicaciones móviles maliciosas para cosechar datos de usuarios y generar ingresos a través de fraude de suscripción.
Su infame robot captcha solicita a los usuarios con mensajes como “Presione el botón ‘Permitir’ para verificar que eres humano!” que sirve como una puerta de entrada a su ecosistema criminal más amplio.
Esta interfaz engañada se ha convertido en sinónimo de operaciones de Vextrio y se ha documentado en numerosos informes de seguridad a lo largo de los años.
Las operaciones de Vextrio se extienden mucho más allá del simple spam, que abarca un sistema integral de distribución de tráfico (TDS) que ofrece contenido fraudulento en múltiples verticales, incluidas las estafas de citas, criptomonedas y sorteo.
Páginas de destino de estafa (fuente – infoBlox)
Analistas de infoBlox identificado que la organización controla la mayoría de las páginas de destino entregadas a través de sus SmartLinks, beneficiando doblemente de sus operaciones de red de afiliados.
La infraestructura del grupo revela una compleja red de compañías de shell y asociaciones técnicas que difuminan las líneas entre el negocio legítimo y el delito cibernético.
La organización criminal ha desarrollado una extensa cartera de aplicaciones maliciosas disfrazadas de servicios legítimos.
Su catálogo de aplicaciones incluye VPN falsas, herramientas de monitoreo de dispositivos, bloqueadores de spam y aplicaciones de citas publicadas bajo varios nombres de desarrolladores, incluidos Holacode, Locomind, Hugmi, Klover Group y Alphascale Media.
Página de Google Play para la aplicación Spam Shield listada como desarrollada por Holacode en diciembre de 2024 y Aplabz a principios de 2025 (fuente – infoBlox)
Estas aplicaciones emplean técnicas sofisticadas de ingeniería social para extraer tarifas de suscripción de usuarios desprevenidos mientras los bombardean con anuncios intrusivos.
Mecanismo de infección y tácticas de persistencia
Las aplicaciones móviles de Vextrio utilizan una cadena de infección cuidadosamente orquestada que comienza con una funcionalidad aparentemente legítima antes de la transición al comportamiento malicioso.
Su aplicación de bloqueador de spam, Spam Shield, ejemplifica este enfoque al proporcionar inicialmente servicios de bloqueo de notificaciones básicas mientras se muestra informes de seguridad fabricados.
La aplicación presenta a los usuarios interfaces de monitoreo falsas que muestran notificaciones de spam y maliciosas bloqueadas, creando una ilusión de protección que justifica las tarifas de suscripción.
La implementación técnica revela registros DNS que vinculan las aplicaciones maliciosas con la infraestructura de Vextrio.
El análisis DNS muestra que la dirección IP 136.243.216.249 aloja simultáneamente Holacode, ADSPro Digital, Los Pollos y múltiples aplicaciones de estafas, lo que demuestra la naturaleza interconectada de sus operaciones.
Las aplicaciones emplean redes proxy residenciales disfrazadas de servicios VPN, lo que aumenta las preocupaciones de privacidad significativas a medida que el tráfico de usuarios se convierte en parte de su infraestructura proxy.
La estrategia de persistencia de Vextrio se extiende más allá de las aplicaciones individuales para abarcar todo un ecosistema de servicios fraudulentos.
Sus operaciones de marketing por correo electrónico utilizan dominios parecidos de servicios establecidos como SendGrid y Mailgun, con dominios como SendGrid.Rest y Mailgun.fun configurado con registros SPF específicos que autorizan los servidores de correo en la dirección IP 78.47.103.187.
Esta infraestructura respalda campañas masivas de spam que alimentan a las víctimas en su ecosistema de aplicaciones, creando un ciclo de fraude de autoconfutación que ha permitido a la organización operar con impunidad durante más de una década mientras genera ganancias criminales sustanciales a través de estafas de suscripción y recolección de datos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
