Operación masiva de fraude publicitario desmantelada

Iniciado por Dragora, Enero 21, 2023, 06:30:00 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Investigadores de seguridad de la empresa de seguridad cibernética HUMAN interrumpieron una operación masiva de fraude publicitario denominada 'Vastflux' que falsificó más de 1700 aplicaciones de 120 editores, principalmente para iOS.

El nombre de la operación se derivó de la plantilla de publicación de anuncios VAST y la técnica de evasión de "flujo rápido" utilizada para ocultar código malicioso al cambiar rápidamente una gran cantidad de direcciones IP y registros DNS asociados con un solo dominio.

Según el informe de HUMAN, Vastflux generó más de 12 mil millones de solicitudes de ofertas por día en su punto máximo e impactó a casi 11 millones de dispositivos, muchos en el ecosistema iOS de Apple.

Detalles de gran flujo

El equipo de investigación de HUMAN (Satori) descubrió Vastflux mientras investigaba un esquema de fraude publicitario por separado. Se dieron cuenta de que una aplicación estaba generando una cantidad inusualmente grande de solicitudes con diferentes ID de aplicación.

Mediante ingeniería inversa del JavaScript ofuscado que operaba en la aplicación, el equipo de Satori descubrió la dirección IP del servidor de comando y control (C2) con el que se estaba comunicando y los comandos que generaba anuncios que enviaba.

"Lo que el equipo armó fue una operación de publicidad maliciosa expansiva en la que los malos actores inyectaron JavaScript en las creatividades publicitarias que emitieron, y luego apilaron un montón de reproductores de video uno encima del otro, cobrando por todos los anuncios cuando ninguno de ellos eran visibles para la persona que usaba el dispositivo". - HUMANO

Vastflux generó ofertas para mostrar banners publicitarios en la aplicación. Si ganaba, colocaba una imagen de banner estática y le inyectaba JavaScript ofuscado.

Los scripts inyectados se pusieron en contacto con el servidor C2 para recibir una carga útil de configuración cifrada, que incluía instrucciones sobre la posición, el tamaño y el tipo de anuncios que se mostrarían, así como datos para suplantar las ID reales de aplicaciones y editores.

Vastflux apiló hasta 25 anuncios de video uno encima del otro, todos generando ingresos por visualización de anuncios, pero ninguno de ellos era visible para el usuario ya que se mostraban detrás de la ventana activa.


Representación de múltiples anuncios de video invisibles (HUMAN)

Para evadir la detección, Vastflux omitió el uso de etiquetas de verificación de anuncios, lo que permite a los especialistas en marketing generar métricas de rendimiento. Al evitarlos, el esquema se hizo invisible para la mayoría de los rastreadores de rendimiento de anuncios de terceros.

Eliminación de Vastflux

Después de mapear la infraestructura para la operación de Vasstflux, HUMAN lanzó tres oleadas de acciones específicas entre junio y julio de 2022, involucrando a clientes, socios y las marcas falsificadas, cada una de las cuales asestó un golpe a la actividad fraudulenta.

Eventualmente, Vastflux desconectó sus servidores C2 por un tiempo y redujo sus operaciones, y el 6 de diciembre de 2022, las ofertas de anuncios se redujeron a cero por primera vez.


Cronología del derribo de Vastflux (HUMANO)

Si bien el fraude publicitario no tiene un impacto malicioso para los usuarios de la aplicación, provoca caídas en el rendimiento del dispositivo, aumenta el uso de la batería y los datos de Internet, e incluso puede provocar el sobrecalentamiento del dispositivo.

Los anteriores son signos comunes de infecciones de adware o fraude publicitario en el dispositivo, y los usuarios deben tratarlos con sospecha y tratar de identificar las aplicaciones que representan la mayor parte del consumo de recursos.

Los anuncios de video consumen mucha más energía que los anuncios estáticos, y múltiples reproductores de video ocultos no son fáciles de ocultar de los monitores de rendimiento, por lo que es crucial estar siempre atento a los procesos en ejecución y buscar signos de problemas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta