Мошеннические приложения под видом Google Play нацелены на пользователей из развивающихся стран

Исследователи кибербезопасности выявили три крупные инфраструктурные группы, распространяющие через поддельные версии магазина Google Play опасные андроид-приложения для онлайн-гемблинга и азартных игр на реальные деньги. Кампания активно использует социальную инженерию, поддельные отзывы и сложные технические методы для обмана пользователей и уклонения от анализа.

Описание

Все три группы используют один и тот же набор методов для привлечения жертв. Они создают сотни фишинговых сайтов, которые точно имитируют страницы установки приложений в официальном магазине Google Play. Эти сайты наполнены искусственно сгенерированными положительными отзывами и заявлениями о крупных выигрышах. Для продвижения в поисковых системах злоумышленники активно применяют методы SEO-манипуляции. Конечной целью является загрузка пользователем вредоносного APK-файла, который в обход политик официального магазина устанавливает нерегулируемое приложение для азартных игр.

Первая группа, условно названная «AA Game: Aviator», с марта 2025 года использовала около 180 доменов. Приложения в этой группе эксплуатируют популярную в нелегальном гемблинге механику «краш-игр», где игрок пытается забрать выигрыш до случайного обвала коэффициента. Приложения активно используют фразы вроде «Разбогатей», а поддельные отзывы утверждают, что пользователи смогли легко заработать. Технический анализ выявил использование фреймворка Cocos2d, где нативный слой Android служит оболочкой для выполнения зашифрованного JavaScript-кода. В более старых версиях приложения был обнаружен модуль, который в 95% случаев генерировал фейковые уведомления о выводе средств вымышленными пользователями, создавая иллюзию активности.

Вторая группа, «DK777», фокусируется на доставке обобщенных азартных приложений. Шестнадцать доменов, зарегистрированных в один день, распространяют один и тот же APK-файл. Приложение предлагает игровые автоматы и многофункциональные игровые залы, визуально акцентируя внимание на «крупных выигрышах» и «джекпотах». Оно также построено на Cocos2d, но использует более сложные методы обфускации, включая более тысячи запутанных файлов. Приложение отправляет телеметрию устройств и загружает дополнительную конфигурацию и код с контролируемых злоумышленниками доменов. Анализ конфигураций и языков интерфейса указывает на таргетинг пользователей из Пакистана, а также англоговорящих, португалоязычных и бенгалоязычных аудиторий.

Третья группа, «LG Sabong», насчитывает около 196 доменов и, судя по названию «Sabong» (петушиные бои), нацелена на филиппинский рынок. Эта инфраструктура использует систему «мостовых» или «маскирующих» страниц для обхода ограничений рекламных платформ, таких как Facebook или Google Ads. Вместо функционального сайта пользователю показываются случайно выбранные PNG-изображения с кнопками загрузки. Это позволяет показывать рекламным модераторам безобидный контент, в то время как реальный пользователь перенаправляется на страницу загрузки вредоносного APK. Код сайта содержит отсылки к термину «waistcoat» (马甲包), что на жаргоне китайских разработчиков означает «приложение-оболочка», используемое для скрытия запрещенного контента от модераторов магазинов приложений.

Общей чертой для первых двух групп является архитектура на базе Cocos2d с загрузкой зашифрованной полезной нагрузки (payload) после установки. Этот подход, характерный для финансового мошенничества, позволяет злоумышленникам гибко менять региональную тематику и само поведение приложения, просто обновляя конфигурацию на своем сервере. Хотя прямая атрибуция отсутствует, подобные схемы ранее связывались с профессиональными синдикатами из Юго-Восточной Азии.

Эти приложения не являются вредоносными в традиционном понимании, они не крадут пароли и не устанавливают бэкдоры. Однако они представляют собой нерегулируемые азартные игры, которые с высокой вероятностью используют сфальсифицированные результаты. Основной риск для пользователей заключается в финансовых потерях из-за мошеннических игровых механизмов. Эксперты настоятельно рекомендуют избегать установки приложений из непроверенных источников (sideloading) и загружать программы только из официальных магазинов, таких как Google Play Store, где действуют строгие правила модерации. Организациям следует использовать управляемые среды, например, Managed Google Play, для ограничения установки ПО из недоверенных источников на корпоративных устройствах.

Индикаторы компрометации

Domains

014xuq9.com
0frikxu.com
0jl0bay.com
0uwribs.com
0wtko4g.cc
13c32mw.com
1601467.com
1601468.com
1601469.com
1601470.com
192bet.com
1g08vxl.com
2101062.com
2101063.com
2101068.com
2101069.com
2101089.com
27gerrr.com
27kqm6tk4if7.com
2jzknsn.com
2nw0gc5m.com
2twbwgyuv9.vip
324864.com
332s67td7.com
349wqcv.com
37qo19r.com
3bl6il8ii.com
3cbk83s.com
3egwuww.com
3io6zbc4z.com
3ni5dbj.com
3scksa1.com
3vqkgkxz4i.vip
3y0kra1.com
43rvny2.com
4dzotlk.com
4nrv1uo4e.com
4yqwwh4.com
50gw9q3.com
516744.com
5brgv2b.com
5e4wpk0eywf.com
5h5zpt3w.com
65qwjz8.com
6e23fgdh.com
6i6s3ujuq.com
6n7d3avr.com
6xy7puo.com
6zg4qdr.com
740z2o3.com
763jxs5.com
764244.com
7686343.com
76tngmz.com
7ag56yke01akumfg.com
7eweyph.com
7npufqk.com
7wmx3n7vs.cc
7x45iemwafxnpgbb.com
7yts0c3d0ijie6q8.com
83kisattf3.com
864524.com
8b1mrv4.com
8esm3oa.com
8hgngja.com
8jp3cug.com
8k1h8w3k.com
8z6t55s.com
8zbjrx1.com
8zmgmv9qfcnakcb.vip
90q5fxp.com
9czrogf.com
9du5468.com
9k8z1ww.com
9mzuktg.cc
9q8c5qpjva.com
9u8t5ph2d.com
a18ox1o.com
a4afyw6xm.cc
a5mbz9wy.com
ac0kkep.com
agwfecr.com
aijox3n.com
al1xjwykv.com
aopmhrl.com
arkx4ay.com
asdnfuibuiss.com
at11bfp.com
b310zsg.com
b4r1m7v8.com
b6gh50u.com
b6pvq4ntz.com
b8wqf6ny.com
b9a7fzg.com
bc7wxfd.com
belorantix.com
bestgame88.cc
bestgame88.org
bestgame888.cc
bestgame888.org
bestgame88j.com
bh93dlh.com
bigwinht.com
Bigwinldy1.com
bigwinslots8.com
bigwinslots9.com
bigwinzf.com
brightelivro.com
bxvckmh.com
bxvi6z4.com
bxvv4z9.com
Byz6ii0.com
c1jcmtd.com
c2u5h3j9.com
c6mvq4hp.com
c7799xp.com
c7qoy3vowho5jz2h.com
c9tsh2kx.com
cloudarivato.com
cloudvaro.com
corezaro.com
cscmndt.com
csduczx.com
cso09c7rfb.com
cwhgm8nrh.com
cxfaurv.com
cxnui.cc
d7qfx5lr.com
d9k4w2p1.com
datalaro.com
datarevolino.com
datelira.com
dbhl3e2.com
dgg8tp7de.com
dgh0f8r.com
djfh94d7.com
dk777.cc
dk777.me
dk777.vip
dku53mp.com
dnj7x9g.com
dno1l9p.com
dnv8t0w.com
dq8bnzuu.com
dxytscj.com
e2mf5hy.com
e2zff2t.com
e3jw95u.com
e4tvigye.vip
e713hxm.com
e7ghq4nt.com
e7nsklq.com
e7y6n3z0.com
eer0m14gb.com
emg0ndw.com
eq7g8g0.com
ewdnq4r.com
ewp9w9tfw5.com
exgameban.com
exgmban.com
f0l53xs.com
f14bftyi.com
f2wht8ks.com
f3x1v8m5.com
favontrika.com
faw6soa.com
fcnycvj.com
fcy7y8rkcy.com
fdsui.cc
fe539ej.com
ffesncx.com
fkhy4p0.com
fna7c2x.com
fnmu2se.com
foxerivalto.com
foyfvvl.com
Fuprfea.com
g1ugbq4gufl.com
g30vpk7.com
g4pzn8wr.com
g8q5p2r9.com
gb2vkp9.com
gbibn8n.com
gc0or29.com
ghm117y.com
gk4x2kb.com
gl6xd60.com
gmo6svzj5.com
gpn1jzo.com
guiwuzox.com
gyn5bvv.com
h2u4j7w3.com
h3x9b1v6.com
h4wnq7zb.com
h7rpl5vq.com
h7zn50z.com
h8ghn0v.com
happy06.cc
happy06.club
happy06.me
happy06.net
hfb76esx.cc
hh921jg.com
hlktze.cc
hm35qdj.com
holperavik.com
ht777.info
ht777.io
hte9mp1.com
hvb6e1w.com
hvitpteo.com
hvp1inv.com
hwctfgtw.com
i01y8wm.com
i9v6k1t4.com
iboh7u8.com
ihfal17.com
il4g7te.com
itiwq8z.com
izeinaiccpqx6.cc
j36vdbdi.vip
j3gy47y.com
j4y6u2m8.com
j65fen4.com
j8rxm2fd.com
j9fanes.com
jaa6b8l.com
jc4x3xp.com
jdu4s7p.com
jgtxg7rfz.com
jiatg2y.com
jj99.com
jj99.top
jj999.org
jmozf.com
joygame88.com
jqyyrql.com
jt4i3sp.com
jtk3447.com
jtviq27.com
jyow5mu.com
k1tuj0x.com
k2r8f3z1.com
k3ynz7dp.com
k8zrqn4m.com
kbyaeow.com
kgecenu.com
kgvwrhc.com
khr24mdpz4.cc
kr3qf54.com
kumarteros.com
kx7rta9.com
l47pbi7.com
l483osg.com
l4y857g.com
l6x2126.com
l8stp6rq.com
lfy0kn7.com
lg7k2m.com
lg92xkz.com
lga8t9q.com
lgax9.com
lgc6y2v.com
lge4r6b.com
lgeppm.com
lgf42a.com
lgj7u3p.com
lgl2x5n.com
lgp39bw.com
lgpartyapp.com
lgpartyclub.com
lgpartyfun.com
lgpartygo.com
lgpartygo235.com
lgpartygo269.com
lgpartyhub.com
lgpartylo223.com
lgpartyml111.com
lgpartyml112.com
lgpartyml118.com
lgpartynet.com
lgpartyplus.com
lgpartypro.com
lgpartywin.com
lgpartyxb536.com
lgparty-zb.com
lgpartyzone.com
lgq5h9s.com
lgqzly.com
lgqzxt.com
lgs2k8b.com
lgu9f4m.com
lgw3z5r.com
lgx1p7d.com
lgypj9.com
lhhtumh.com
lk777.cyou
lk777.xyz
lm954jz.com
logicvra.com
login.dq8bnzuu.com
lr1on8l.com
lsmmerc.com
luminexarion.com
lvotff2.com
lwj3y8r.com
lyhwprj.com
m1p5v7n4.com
m30u7qb.com
m5bd526.com
m5cxr2gt.com
m6qyzp8r.com
mdxs6fm.com
Mintaverion.com
mintavro.com
minterix.com
mktwibx.com
mlt9v6n.com
mngafbc.com
mpal63h.com
mpqz0os.com
mqgptwr.com
mudddk7.com
mvyxpcu.com
mykexin.com
mzg5r2w.com
n38dxtk.com
n3ksy9tw.com
n4kx2rt.com
n5g14ry.com
naasa0nqwf.com
navoprelix.com
nemoraptil.com
nffrpp3.cc
njbzaunt.vip
nl1zrk7.com
novaerio.com
novarelutiva.com
novaviro.com
nrfewilh.com
o1298d9.com
o4nzmvp.com
o8g2t3h9.com
obsgx89.com
ojajgnmh.com
onodror.com
ontfdbxh.com
oq5jsa0.com
otueptj.com
out96gp.com
outz338.com
ov6uz2x.vip
p4qfq4.com
p5qln7vg.com
p7xkdr3m.com
pak111.com
partylgok134.com
partylgok189.com
partylgok223.com
partylgok356.com
partylgok437.com
partylgok629.com
partylgok738.com
partylgok846.com
partylgok905.com
pc8060n.com
pftdcyk.com
pjhjd3qhb.com
pjr37qi3kvw84j.cc
pjupyty.com
pk67i.com
pk67ii.com
pk67in.com
pk68i.com
pk68ii.com
pk68in.com
pkshoooopp.com
pkvvvvvipp.com
playslotsss.com
ppewhod38.com
primevra.com
primezoa.com
psurrvd.com
psyvmey.com
pulsevra.com
pz3mle6.com
q2f8wqxxg.com
q80kr9m.com
q8srwtuc5.com
q9sdm4tx.com
q9u4k1w6.com
qaifkgnlkfngoad.net
qcly11m.com
qdz3epw.com
qfwozvner.vip
qmr81gi.com
qndpyio.com
qovoj5w.com
r39y1gh.com
r3kps8jw.com
r5z6m3x2.com
r6fs7wh35drbfwv1.com
rd41xtk.com
rdaec2g9unn4ai2.com
refantalix.com
res.6n7d3avr.com
res.dku53mp.com
res.dq8bnzuu.com
res.hfb76esx.cc
res.qfwozvner.vip
res.qhxcdas9.com
rgomt97.com
rimalokten.com
rkg2a8p.com
rndj471.com
rp5h5qs.com
rs777i.com
rs777in.com
rsslotggamee.com
ruif74g.com
rvoy2k.vip
rvwvcen.com
rz4727ycpopttn58.com
rzol91.com
s1i4ucspb.com
s1y8c7p4.com
s4dzmp9q.com
s9bnd3qa.com
sdtrm9l.com
Selparokit.com
sgoepysw3tccs.com
si0qh2f.com
slotsbigwin.vip
sq878jr.com
starvolarion.com
sumeloprix.com
sunloriventa.com
sxwgdgex.cc
sz4mqu5.com
t2hkr9me.com
t2v9h5m3.com
t5rmbq9v.com
ti4ny84.com
tkvedhvi.com
tondarepix.com
tpa4w7s.com
tr8yka1.com
trbfrhq.com
tszk5zw.com
tuv9wxz.com
u0k7n4q8.com
u2vhg9km.com
u54uuobu8.com
uakwajiv.com
uej1w0p.com
ugq7c78.com
uheolvgv.com
uqonbai.com
ut9hawr.com
uv1hhyt.com
uxlvyj.com
v2pn4xp.com
v3plxn7d.com
v3u2k8n1.com
v75c8sm.com
v7mka2tp.com
v8j3y5b2.com
Vbvwfmcj.com
vhiuqnbbcc.com
vk5uj0x.com
vktndyd.com
vnh2q5c.com
vpwts2a.com
vsp777facai666.com
vsp777facai777.com
vsp777facai888.com
vsp777facai999.com
vwcqhzg.com
vxff3xv.com
vz9pk4kgqnr.vip
w1m6f4r9.com
w23avgq.com
w23rhsj.com
w4nzk8sj.com
wa777.cc
wa777.me
waveclarivon.com
wb9gjnjfkwv.com
wbsbs6u.com
wexnuv.com
wgja8rg2y32p3dwk.com
wra8e4j.com
wss.dq8bnzuu.com
wvai55c.com
wysowfx.com
x4tpm9ke.com
x5p2z8u6.com
x5xt5f7.com
xbxwfr2.com
xeravoltem.com
xkips2vw0qurl0.com
xtxqhk7.com
xuh4z9p.com
xxhdvxf.com
xxnp010.com
xyfv9s6s3ios02g5.com
y3d7k1n9.com
y4371k1.com
y6m4d9j2.com
y9hwc3mt.com
ycp9d2t.com
yiktkbp.com
yofaltreni.com
yu8wun79.com
yzkxvb6.com
z1w7q5t8.com
z2kyh8pm.com
z6lqv8hs.com
z6x9q2t3.com
zantelokar.com
zeecuiwb.com
zenoraltim.com
Ziauhrr.com
zmymmgghnnm.net
zqn8u6b.com
Zssjdcz.top
zuuo3a4.com
zwew0oprfsoxpz2c.com
zxif22u.com

SHA256

32a7c4a4dc4b14988adfa65a1c5d55df2ca39852c5e7aa61187df306436f58d7
3860ffaa621b26c742dcfce52b916ddad6f7f4056045a0fadaf3434fc978c9ad
6da17544754706b86042b1646b6ae7101b549f539b69c5be5b68594cd9cfa969
7da0e56d4c0669647aec7ea3645b882b793d4de20ab14718d4d6698fe9b3b8a2
83332d680ed84f222a5b9f2085b4fa9523e98c80d65eeecde6d4cb65d3075110
9a7495bb56e05389c00e4702a53eed6d946d265b20be766c92ef15e00d69ca6b