Universe Browser składa wielkie obietnice swoim potencjalnym użytkownikom. W jej reklamach internetowych twierdzi się, że jest to „najszybsza przeglądarka”, że osoby z niej korzystające „zapobiegną wyciekom danych osobowych” i że oprogramowanie pomoże „chronić Cię przed niebezpieczeństwem”. Prawdopodobnie jednak nie wszystko jest takie, jakim się wydaje.
Jak wynika z nowych ustaleń firmy Infoblox zajmującej się bezpieczeństwem sieci, przeglądarka ta, powiązana z chińskimi witrynami hazardowymi online i prawdopodobnie pobrana miliony razy, w rzeczywistości kieruje cały ruch internetowy przez serwery w Chinach i „w tajemnicy instaluje kilka programów, które działają cicho w tle”. Badacze twierdzą, że „ukryte” elementy obejmują funkcje przypominające złośliwe oprogramowanie, w tym „rejestrowanie klawiszy, tajne linki” i zmianę połączeń sieciowych urządzeń.
Być może co najważniejsze, badacze Infoblox, którzy współpracowali z Biurem Narodów Zjednoczonych ds. Narkotyków i Przestępczości (UNODC), odkryli powiązania między działaniem przeglądarki a rozległym, wielomiliardowym ekosystemem cyberprzestępczości w Azji Południowo-Wschodniej, który ma powiązania z praniem pieniędzy, nielegalnym hazardem w Internecie, handlem ludźmi i oszustwami z wykorzystaniem pracy przymusowej. Naukowcy twierdzą, że sama przeglądarka jest bezpośrednio połączona z siecią dużej firmy zajmującej się hazardem online BBIN, którą badacze oznaczyli jako grupę zagrożeń, którą nazwali Vault Viper.
Naukowcy twierdzą, że odkrycie przeglądarki oraz jej podejrzanego i ryzykownego zachowania wskazuje, że przestępcy w regionie stają się coraz bardziej wyrafinowani. „Te grupy przestępcze, zwłaszcza chińskie syndykaty przestępczości zorganizowanej, coraz bardziej się różnicują i ewoluują w kierunku oszustw cybernetycznych, uboju świń, phishingu, oszustw i całego tego ekosystemu” – mówi John Wójcik, starszy badacz zagrożeń w firmie Infoblox, który również pracował nad projektem, będąc pracownikiem UNODC.
„Będą nadal podwajać, reinwestować zyski, rozwijać nowe możliwości” – mówi Wójcik. „Zagrożenie ostatecznie staje się poważniejsze i niepokojące, a to jeden z przykładów, gdzie to widzimy”.
Pod maską
Przeglądarka Universe Browser została po raz pierwszy zauważona i wymieniona z nazwy przez infoblox i UNODC na początku tego roku, kiedy rozpoczęły one rozpakowywanie systemów cyfrowych otaczających kasyno internetowe w Kambodży, na które wcześniej napadli funkcjonariusze organów ścigania. Firma Infoblox, która specjalizuje się w zarządzaniu i bezpieczeństwie systemu nazw domen (DNS), odkryła unikalny odcisk palca DNS z tych systemów, które powiązała z Vault Viper, umożliwiając badaczom śledzenie i mapowanie stron internetowych i infrastruktury powiązanej z grupą.
Dziesiątki tysięcy domen internetowych, a także różne infrastruktury dowodzenia i kontroli oraz zarejestrowane firmy zostały powiązane z działalnością Vault Viper, jak twierdzą badacze Infoblox w raporcie udostępnionym WIRED. Twierdzą również, że sprawdzili setki stron dokumentów korporacyjnych, rejestrów prawnych i pism sądowych zawierających linki do BBIN lub innych podmiotów stowarzyszonych. Raz po raz natknęli się na przeglądarkę Universe Browser w Internecie.
„Nie widzieliśmy reklam Universe Browser poza domenami kontrolowanymi przez Vault Viper” – mówi Maël Le Touz, badacz zagrożeń w Infoblox. Z raportu Infoblox wynika, że przeglądarka została „specjalnie” zaprojektowana, aby pomóc mieszkańcom Azji – gdzie hazard online jest w dużej mierze nielegalny – w obejściu ograniczeń. „Wydaje się, że każda witryna kasyna, którą obsługują, zawiera link i reklamę” – mówi Le Touz.
