Masivní podvodný reklamní systém zasáhl miliony zařízení od Applu

Zpět na blog

Bezpečnostní experti zamezili šíření reklamních podvodů, které se týkalo více než 1 700 aplikací od 120 vydavatelů a zasáhlo zhruba 11 milionů zařízení – primárně od Applu.

„VASTFLUX byl malvertisingový útok, který do kreativ digitální reklamy injektoval škodlivý kód JavaScriptu, což podvodníkům umožnilo naskládat za sebe množství neviditelných přehrávačů videoreklamy a registrovat zobrazení reklamy,“ uvedla firma HUMAN zabývající se prevencí podvodů. Název VASTFLUX je odvozen od použití techniky vyhýbání se DNS s názvem Fast Flux a VAST, šablony Digital Video Ad Serving Template, která se používá k zobrazování reklam v přehrávačích videa.

Sofistikovaná operace využívala zejména omezená prostředí v aplikacích, která spouštějí reklamy v systému iOS, k zadávání nabídek na zobrazení reklamních bannerů. V případě vítězství v aukci byl zasažený reklamní slot využit k injektování podvodného JavaScriptu, který navázal kontakt se vzdáleným serverem a získal seznam aplikací, na které se má zaměřit. Ten obsahoval ID svazků, které patří legitimním aplikacím, aby bylo možné provést tzv. útok typu app spoofing, při kterém se podvodná aplikace vydává za vysoce ceněnou a snaží se tak oklamat inzerenty, aby přihazovali za reklamní prostor.

Konečným cílem podle společnosti HUMAN bylo zaregistrovat zobrazení až 25 videoreklam jejich vrstvením na sebe způsobem, který je pro uživatele zcela neviditelný, a generovat nezákonné příjmy.

„Naskládanými reklamami to však nekončí,“ uvedla společnost. „U tolika z nich, kolik se jich může v zařízení uživatele vykreslovat najednou, se načítají nové reklamy, dokud se reklamní slot se škodlivým reklamním kódem nezavře.“

„Aktéři stojící za schématem VASTFLUX zjevně důvěrně znají ekosystém digitální reklamy,“ prohlásili odborníci z HUMAN s tím, že kampaň také vykreslovala nekonečný seznam reklam, aby podvedla jak reklamní společnosti, tak aplikace, které reklamy zobrazují.

Odstranění VASTFLUX přichází tři měsíce po narušení podvodné operace Scylla, která se zaměřovala na reklamní vývojové sady (SDK) v rámci 80 aplikací pro Android a 9 aplikací pro iOS zveřejněných na oficiálních storefrontech.

VASTFLUX, který na svém vrcholu generoval více než 12 miliard požadavků na nabídky denně, je po 3ve, PARETO a Methbot zatím posledním z řady botnetů pro reklamní podvody, které byly v posledních letech vyřazeny z provozu.

Zdroj: The Hacker News

27. 1. 2023