Sebuah kelompok nirlaba jahat bernama ‘Fangxiao’ telah menciptakan jaringan besar lebih dari 42.000 domain web yang meniru merek terkenal untuk mengarahkan pengguna ke situs yang mempromosikan aplikasi adware, situs kencan, atau hadiah ‘gratis’.
Domain penipu digunakan sebagai bagian dari apa yang tampaknya merupakan skema penghasil lalu lintas besar-besaran yang menghasilkan pendapatan iklan untuk situs Fangxiao sendiri atau lebih banyak pengunjung untuk ‘pelanggan’ yang membeli lalu lintas dari grup.
Menurut laporan rinci oleh Cyjax, pelaku ancaman berbasis di China. Mereka telah beroperasi sejak 2017, memalsukan lebih dari 400 merek terkenal dari sektor ritel, perbankan, perjalanan, farmasi, transportasi, keuangan, dan energi.
Contoh yang diberikan dalam laporan termasuk Coca-Cola, McDonald’s, Knorr, Unilever, Shopee, Emirates, dan lainnya, dengan banyak situs palsu yang menampilkan opsi pelokalan yang luas.
Seringkali, korban Fangxiao diarahkan ke situs yang menginfeksi mereka dengan trojan triad atau malware lainnya. Namun, hubungan antara operator situs ini dan Fangxiao belum terjalin.
pabrik untung
Untuk menghasilkan lalu lintas besar bagi pelanggan dan situsnya sendiri, Fangxiao mendaftarkan sekitar 300 domain peniruan merek baru setiap hari.
Sejak awal Maret 2022, operator jahat telah menggunakan setidaknya 24.000 domain pendaratan dan survei untuk mempromosikan hadiah palsu mereka kepada para korban.
Sebagian besar situs ini menggunakan TLD “.top”, diikuti oleh “.cn”, “.cyou”, “.xyz”, “.work”, dan “.tech”. Situs tersebut tersembunyi di balik Cloudflare dan terdaftar melalui GoDaddy, Namecheap, dan Wix.
Pengguna tiba di situs ini melalui iklan seluler atau setelah menerima pesan WhatsApp yang berisi tautan, biasanya membuat penawaran khusus atau memberi tahu penerima bahwa mereka memenangkan sesuatu.
Landing domain ini mengarahkan pengunjung ke domain survei dengan pengatur waktu yang menambah urgensi untuk membantu menjaga konsentrasi korban dari tanda-tanda penipuan.
.png)
Dalam beberapa kasus, menyelesaikan survei mengarah pada pengunduhan aplikasi, yang diminta oleh korban untuk diluncurkan dan tetap terbuka setidaknya selama tiga puluh detik, kemungkinan akan memberikan cukup waktu untuk mendaftarkan pengguna baru dari rujukan Fangxiao.
Situs pendaratan juga menghosting iklan dari ylliX, yang telah ditandai oleh Google dan Facebook sebagai “mencurigakan” saat mengekliknya menghasilkan rantai pengalihan terpisah.
Jalur pengalihan bergantung pada lokasi pengguna (alamat IP) dan agen pengguna, yang mengarah ke unduhan trojan Triada, Amazon melalui tautan afiliasi, situs kencan palsu, dan penipuan pembayaran mikro SMS.
Tujuan lain yang diamati dari kampanye Fangxiao adalah halaman Play Store dari aplikasi ‘App Booster Lite – RAM Booster’, penguat kinerja untuk perangkat Android dengan lebih dari 10 juta unduhan.
Cyjax mengatakan aplikasi tersebut tidak menampilkan fungsionalitas berbahaya, tetapi meminta pengguna untuk menyetujui akses ke izin berisiko, dan menayangkan iklan di atas rata-rata melalui popup yang sulit ditutup.
Penerbit aplikasi, LocoMind, berbagi alamat IP dengan pengembang aplikasi lain bernama Holacode, yang sebelumnya ditautkan ke distribusi adware.
Daftar lengkap domain yang ditemukan oleh Cyjax dapat digunakan dalam kampanye ini ditemukan di sini.
Kesimpulan
Penyelidikan Cyjax menghasilkan beberapa indikasi bahwa Fangxiao adalah operator Cina, seperti menggunakan bahasa Mandarin di salah satu panel kontrol yang terbuka.
Namun, terlepas dari beberapa alamat email yang ditautkan ke forum peretasan seperti Pengguna OGUtidak ada petunjuk lebih lanjut tentang identitas pelaku ancaman.
Juga, saat ini tidak diketahui apakah operasi umpan besar-besaran yang menggunakan banyak situs palsu untuk menarik korban ini terkait dengan tujuan akhir atau apakah Fangxiao hanya berkolaborasi dengan situs-situs tersebut untuk menghasilkan keuntungan.
