Logo
x logo
2025-08-11

VexTrio TDSが Google Play とApp Storeに悪意のあるVPNアプリをデプロイ

要約

VexTrio TDSは、Google Play とApp Storeに偽のVPNアプリを展開しており、ユーザーデータを収集し、TDSエコシステムにトラフィックを誘導しています。これは、VexTrioの手口の重大な悪化を示しています。

このニュースのスケール度合い
9.0
/10
インパクト
8.5
/10
予想外またはユニーク度
8.5
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
9.0
/10
このニュースを見て行動が起きるあるいは行動すべき度合い
9.0
/10

詳細分析

主なポイント

  • VexTrioは、大規模なトラフィック配信システム(TDS)を運営する高度な脅威アクターです。
  • VexTrioは、Google Play とApp Storeに偽のVPNアプリを展開しています。
  • これらのアプリは、ユーザーデータを収集し、TDSエコシステムにトラフィックを誘導します。
  • VexTrioのインフラストラクチャは、世界中の何百万人ものユーザーに影響を与える大規模な活動をサポートしています。
  • VexTrioは、スパム中心の戦術から統合型の広告詐欺に移行しています。

社会的影響

  • VexTrioの活動は、個人の被害を超えて、広範な社会的影響を及ぼしています。
  • VexTrioのTDSは、ユーザーデータの収集、不正なトラフィック誘導、詐欺的なモバイルアプリの配布など、多岐にわたる悪質な活動を行っています。
  • VexTrioの活動は、世界中の何百万人ものユーザーに影響を与えており、深刻な社会的影響を及ぼしています。

編集長の意見

VexTrioの活動は、セキュリティ業界にとって大きな脅威となっています。アプリストアの審査強化やDNSベースのブロッキングなど、包括的な対策が必要です。また、VexTrioの拠点や活動の継続的なモニタリングも重要です。

解説

はじめに

VexTrioは、もともとスパムを起源とする組織でありながら、現在では巨大なトラフィック配信システム(TDS)を運用し、デジタル詐欺を大規模に展開していることで知られる巧妙なサイバー犯罪集団です。彼らの活動は、一見正当な広告技術の表向きの顔と、裏社会のアフィリエイト提携を巧みに混ぜ合わせることで、何百万もの世界中のユーザーに影響を及ぼしています。近年、このグループは悪意のある活動をさらに拡大し、Google PlayApple App Storeといった主要なアプリストアに偽のVPNアプリケーションを配備していることが明らかになりました。これらのアプリは、ユーザーデータの収集や、VexTrioのTDSエコシステムへのトラフィック誘導を目的としています。

このような悪意あるアプリが、厳格な審査があるはずの主要なアプリストアにどのようにして掲載されたのか、という疑問は尽きません。VexTrioは、その複雑な企業構造と、巧妙な詐欺手法を駆使することで、アトリビューション(帰属特定)やテイクダウンを困難にしています。本稿では、VexTrioの経歴、悪質なVPNアプリがどのようにユーザーデータを取得するのか、そしてなぜ犯罪組織のアプリが正規のアプリストアにアップロードされ得るのかについて、詳細に解説します。

VexTrioについて

VexTrioの経歴概要と犯罪活動の進化 VexTrioの起源は、2020年頃にイタリアのスパム業者と東ヨーロッパのデベロッパーが合併したことに遡ります。

  • イタリア人グループ: このグループは2004年頃に活動を開始し、スパムや出会い系ウェブサイトに関与していました。彼らはシェルカンパニーを利用し、詐欺で訴えられた経歴があります。その後、スイスのルガーノに拠点を移し、ジュリオ・リングア、マッテオ・コスタ、マルコ・ルファ、ジュリオ・チェルッティなどの主要人物が関与していました。彼らの活動は、Crownstone LLCのような企業を通じて、Facebookの出会い系アプリで一時は人気を博すなど、当初は正当に見える側面も持っていました。しかし、背後には詐欺やスパムに関する多数の苦情があり、DNSレコードやWHOIS登録履歴には怪しいドメイン名が多数見られました。
  • 東ヨーロッパ人グループ: 彼らはTDSとその関連技術スタックを開発しました。ブルガリア、モルドバ、ルーマニア、エストニアなど複数の国で会社を設立した後、2015年にはチェコのプラハに拠点を構えました。イゴール・ボロニン、アンドリュー・クニッツァ、ズミトリー・ラプツェビッチ、クルーム・ヴァシレフといった主要人物が関与しています。彼らは、アフィリエイト広告会社であるLos Pollosなど、Breaking Badをテーマにした複数の企業をAdsPro傘下に持っていました。
  • 合併とTDSの確立: 2020年頃にこれら二つのグループが合流し、スイスのルガーノに本部を設立しました。この合併により、広告技術業界のあらゆる部分に影響を及ぼす、恐るべき商業的実体の集団が形成されました。
  • 活動規模: VexTrioTDSは、侵害されたサイトから詐欺的なエンドポイント(スケアウェア、仮想通貨詐欺、欺瞞的なモバイルアプリなど)へウェブトラフィックをリダイレクトすることを容易にします。2025年7月時点で、そのインフラストラクチャを支えるドメインは、世界で最も人気のある上位10,000位以内にランク付けされており、その操作は世界中の何百万ものユーザーに影響を与えています。2024年には、世界中の侵害されたウェブサイトの約40%がVexTrioのTDSにリダイレクトされていました。彼らはスパム中心の戦術から、アフィリエイトネットワークであるLos PollosやTacoLocoを活用した統合的な広告技術詐欺へと進化しました。

悪意のあるVPNアプリの仕組みとデータ取得方法 VexTrioが展開する悪意のあるVPNアプリは、一見すると正規のセキュリティツールのように見せかけていますが、その裏には巧妙なデータ収集と詐欺のメカニズムが隠されています。

  • アプリの偽装: FastVPNのようなアプリは、ApperitoLocoMindといった組織によって開発され、RAMクリーニングや暗号化されたブラウジングを謳うセキュリティツールとして偽装されています。
  • データ収集メカニズム: これらのアプリは、ユーザーデータを収集し、VexTrioTDSエコシステムにトラフィックを流し込むように設計されています。具体的には、地理位置情報デバイスフィンガープリント行動パターンに基づいてユーザーをプロファイルするトラッキングメカニズムが組み込まれています。
  • パーミッションの悪用とスマートリンクの注入: アプリがインストールされると、権限を悪用してネットワークトラフィックを傍受し、ユーザーをコスト・パー・アクション(CPA)詐欺にリダイレクトするスマートリンクを注入します。これには、プッシュ通知の悪用やクレジットカード提出型オファーなどが含まれます。
  • プッシュマネタイズ: アプリのバックエンドは、nxt-psh[.]comなどのドメインを介してコアTDSと連携し、プッシュ通知の許可を繰り返し求めることでマネタイズを行います。これにより、ユーザーはクリックベイト広告に継続的に晒され、IVRオファーや「空白のCC提出」詐欺に誘導されます。アフィリエイトは、栄養補助食品やウイルス対策ソフトの詐欺などの高価値詐欺で、1リードあたり100ドル以上の報酬を得ることがあります。

犯罪組織のアプリがGoogle PlayやApp Storeにアップロードされた経緯 VexTrioのアプリが主要なアプリストアに掲載されたのは、彼らの巧妙な欺瞞と、既存のトラフィック配布メカニズムを悪用した結果です。

  • 「正当な」開発者としての偽装: アプリは「Apperito」や「LocoMind」といった実体名で開発されており、これらはあたかも正規のソフトウェア開発会社であるかのように振る舞います。彼らは、合法的な広告技術の表向きの顔と、裏社会のアフィリエイト提携を混ぜ合わせることで、疑いをかわす「もっともらしい否認(plausible deniability)」を維持しています。
  • 圧倒的なダウンロード数: 2024年までに、VexTrioに関連する少なくとも7つのアプリが、50万件以上のダウンロード5万人のアクティブユーザーを誇っていました。このような高い数字は、アプリストアのアルゴリズムや信頼性スコアにおいて、アプリを正当に見せることに貢献した可能性があります。
  • SEOと侵害されたサイトの利用: これらのダウンロード数は、汚染されたSEO結果侵害されたWordPressサイトを通じて達成されました。つまり、彼らはアプリストア内での自然な発見だけでなく、外部からの悪意のあるトラフィック誘導も活用してダウンロード数を水増ししていたと考えられます。これは、彼らがアプリストアの審査プロセスを迂回したり、悪用したりする方法を示唆しています。
  • 企業構造の複雑さ: VexTrioは、ヨーロッパ内外に約100もの法人を擁する複雑な企業構造を持っています。彼らは正当なサービスと区別しにくい会社名を登録し、社内の従業員や会社を「参照」として利用することで、企業間の関係を意図的に不明瞭にしています。この複雑さが、アプリの出所を特定し、悪質な活動を早期に発見することを困難にしています。
  • 審査プロセスの課題: ソースは、アプリストアの審査メカニズムが、VexTrioのような巧妙な脅威アクターの欺瞞的な活動を検出する上で十分ではなかったことを示唆しています。記事は、「強化されたアプリストアの審査」の必要性を強調しています。これは、現在の審査では彼らの手口を見破ることが難しいという認識があるためです。

おわりに

VexTrioは、単なるスパム業者から、大規模なTDSを運用し、洗練されたデジタル詐欺を行う国際的なサイバー犯罪組織へと進化を遂げました。彼らの成功の鍵は、およそ100もの企業実体を絡み合わせた複雑な企業構造と、合法的な広告技術の表向きの顔と、裏社会のアフィリエイト活動を巧みに融合させる「もっともらしい否認」戦略にあります。悪意のあるVPNアプリがGoogle PlayApp Storeにアップロードされた事例は、この組織がどれほど巧妙に、そして大規模に既存のインフラやシステムを悪用しているかを示しています。彼らは、汚染されたSEO侵害されたWordPressサイトを利用してアプリのダウンロード数を水増しし、ApperitoLocoMindといった偽装された開発者名義で活動することで、アプリストアの審査をすり抜けていました。

このような脅威が蔓延する中で、「何を信じればいいのか」という問いは極めて重要です。

  • 情報源の吟味: まず、情報を得るソースの信頼性を確認することが不可欠です。本記事のようなセキュリティリサーチは、VexTrioのような脅威アクターを追跡し、その詳細な手口を解明することで、一般ユーザーや他のセキュリティ専門家が警戒すべき情報を提供しています。信頼できる機関や研究者からの報告に目を向けるべきです。
  • アプリに対する警戒心: 特に「無料」を謳うVPNやユーティリティアプリに対しては、これまで以上に慎重な姿勢が求められます。アプリの権限要求内容を注意深く確認し、不要な情報へのアクセスを求めるアプリには警戒すべきです。
  • 異常な挙動の認識: 予期せぬ広告、繰り返し表示される通知、不審なサイトへのリダイレクトなどは、アプリがユーザーデータを傍受し、詐欺に誘導しようとしているサインである可能性があります。このような異常な挙動に気づいた場合、速やかにアプリをアンインストールし、デバイスのセキュリティスキャンを行うべきです。
  • アプリストアとセキュリティ対策の改善: 根本的な解決策としては、アプリストア提供者による強化されたアプリストアの審査と、DNSベースの脅威ブロッキングなど、より高度なセキュリティ対策が不可欠です。ユーザー側も、DNSベースの脅威検出・対応ソリューションや、信頼できるセキュリティソフトウェアの導入を検討することが重要です。

VexTrioの事例は、デジタル環境における信頼の基盤が常に脅かされている現実を浮き彫りにします。個々のユーザーの警戒心と、セキュリティコミュニティの継続的な努力、そしてプラットフォーム提供者による防御策の強化が一体となって、初めてこのような巧妙で広範なサイバー犯罪に対抗できるでしょう。

背景情報

  • VexTrioは、2020年頃にイタリアのスパマーと東欧の開発者が合併して誕生しました。
  • VexTrioのTDSは、侵害されたサイトからフィッシング、暗号通貨詐欺、偽のモバイルアプリなどの不正なエンドポイントにトラフィックを誘導しています。
  • VexTrioのインフラストラクチャは、ブレットプルーフホスティングプロバイダーやクラウドサービスを活用しています。
  • VexTrioは、アフィリエイトネットワークを利用して、ブラックハットのトラフィックソースを収益化しています。
世界のセキュリティ最前線
Packet News 一覧へ