O VexTrio, um sofisticado agente de ameaças conhecido por operar um sistema massivo de distribuição de tráfego (TDS), expandiu suas atividades maliciosas implantando aplicativos VPN falsos nas principais lojas de aplicativos, incluindo Google Play e Apple App Store.
Originado de uma fusão entre spammers italianos e desenvolvedores do Leste Europeu por volta de 2020, o TDS da VexTrio facilita o redirecionamento do tráfego da web de sites comprometidos para endpoints fraudulentos, incluindo scareware, Golpes de criptomoedae aplicativos móveis enganosos.
Evolução da rede de crimes cibernéticos da VexTrio
A infraestrutura do grupo, abrangendo provedores de hospedagem à prova de balas e serviços em nuvem, oferece suporte a operações de alto volume que afetam milhões de usuários em todo o mundo, com domínios classificados entre os 10.000 mais populares em todo o mundo em julho de 2025.
Essa evolução ressalta a mudança da VexTrio de táticas centradas em spam para fraudes integradas de adtech, aproveitando redes de afiliados como Los Pollos e TacoLoco para monetizar fontes de tráfego de chapéu preto.
A implantação de aplicativos VPN maliciosos representa uma escalada crítica nas táticas do VexTrio, onde aplicativos aparentemente legítimos, como o FastVPN, são projetados para coletar dados do usuário e canalizar o tráfego para seu ecossistema TDS.
Esses aplicativos, desenvolvidos por entidades como Apperito e LocoMind, se disfarçam como ferramentas de segurança que prometem limpeza de RAM e navegação criptografada, mas, em vez disso, incorporam mecanismos de rastreamento que traçam o perfil dos usuários com base na geolocalização, impressões digitais do dispositivo e padrões comportamentais.
Uma vez instalados, os aplicativos exploram permissões para interceptar o tráfego de rede, injetando smartlinks que redirecionam os usuários para golpes de custo por ação (CPA), incluindo abuso de notificação push e ofertas de envio de cartão de crédito.
A análise histórica revela pelo menos sete desses aplicativos associados ao VexTrio, com mais de 500.000 downloads e 50.000 usuários ativos até 2024, alcançados por meio de resultados de SEO envenenados e comprometidos Sites WordPress.
Mecanismos técnicos
Tecnicamente, os aplicativos VPN do VexTrio se integram ao seu TDS principal por meio de domínios como nxt-psh[.]com, que lidam com a monetização push solicitando repetidamente aos usuários permissões de notificação com parâmetros de agressão ajustáveis.
Isso cria persistência, bombardeando as vítimas com clickbait que levam a ofertas de URA ou envios de CC em branco, onde os afiliados ganham pagamentos superiores a US$ 100 por lead para fraudes de alto valor, como suplementos nutra ou golpes de antivírus.
O back-end dos aplicativos se conecta a intervalos de IP hospedados na Suíça em sistemas autônomos AS203639 e semelhantes, originalmente alugados por fundadores italianos para páginas de destino de golpes de namoro, agora reaproveitados para fraude de criptomoedas e serviços de validação de e-mail por meio de ferramentas como o DataSnap.
Ao combinar fachadas legítimas de adtech com afiliações de black-hat, o VexTrio mantém uma negação plausível enquanto examina afiliados por meio de fóruns como o Black Hat World, garantindo que apenas hackers experientes tenham acesso a smartlinks ao vivo.
De acordo com o relatório, As implicações vão além dos golpes individuais, já que as operações da VexTrio contribuem para uma projeção de US$ 172 bilhões em custos de fraude digital até 2028, com golpes de investimento sozinhos rendendo US$ 16,6 bilhões de vítimas dos EUA em 2024.
Sua estrutura corporativa complicada, envolvendo quase 100 entidades em toda a Europa e além, complica a atribuição e as remoções, apesar dos esforços do setor que reduziram sua presença em sites comprometidos de 50% em 2022 para 40% em 2024.
Os pesquisadores de segurança enfatizam a necessidade de verificação aprimorada da loja de aplicativos e bloqueio baseado em DNS para interromper o TDS da VexTrio, à medida que o grupo continua inovando com recursos como o SmartRotation para várias páginas de destino fraudulentas.
À medida que a VexTrio higieniza sua pegada online após as exposições, o monitoramento contínuo de seus centros de desenvolvimento da Europa Oriental e da sede suíça continua sendo essencial para conter essa ameaça generalizada.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça