“点击允许"机器人揭露VexTrio的网络欺诈帝国
技术架构概述
VexTrio是一个网络犯罪组织,其核心运营基于诈骗和垃圾邮件。该组织通过流量分发系统(TDS)向受害者推送恶意内容,并利用DNS记录和智能链接技术隐藏其活动轨迹。
恶意应用程序生态系统
VexTrio开发了多种恶意应用程序,包括VPN、设备监控应用、垃圾邮件拦截器和约会应用。这些应用通过Google Play和App Store分发,总下载量超过百万次。关键发现包括:
- 应用伪装技术:应用使用高评分掩盖其恶意本质
- 订阅欺诈:强制用户支付难以取消的订阅费用
- 代码共享:与广告合作伙伴共享代码库
DNS基础设施分析
通过DNS记录分析发现VexTrio使用模仿知名邮件服务的域名:
- sendgrid[.]rest 模仿SendGrid
- mailgun[.]fun 模仿MailGun
这些域名的SPF记录授权78[.]47[.]103[.]187作为唯一邮件分发服务器,该IP的PTR记录指向mail[.]holaco[.]de,属于VexTrio的开发实体Hola Code。
垃圾邮件分发网络
VexTrio通过第三方邮件服务YNOT Mail进行垃圾邮件分发。分析发现多个VexTrio控制的域名使用YNOT Mail的SPF记录:
- cuddlydating[.]com
- datingcell[.]com
- hpc[.]marketing
这些域名的网站模板与VexTrio的邮件营销公司Fidelity Mail完全相同。
技术证据链
研究发现了VexTrio与诈骗网站的直接技术关联:
- 独特的网络指纹特征
- TDS服务器直接托管诈骗工具包
- 专用的瑞士数据中心IP范围(AS5368, AS5398)
基础设施关联性
DNS记录显示VexTrio域名与恶意应用解析到相同IP地址(136[.]243[.]216[.]249),同时承载HolaCode、AdsPro Digital和Los Pollos服务。
该研究通过技术分析揭示了VexTrio犯罪帝国的完整运作模式,为安全社区提供了重要的威胁情报参考。