Масштабная операция по мошенничеству с рекламой ликвидирована после заражения миллионов устройств iOS
Хронология уничтожения Vastflux. Фото: из архива компании
Название операции было получено из комбинации аббревиатуры шаблона показа рекламы VAST и названия метода уклонения «fast flux», используемого для сокрытия вредоносного кода путем быстрого изменения большого количества IP-адресов и записей DNS, связанных с одним доменом.
Согласно отчету HUMAN, операторы Vastflux генерировали более 12 млрд запросов ставок в день на пике своего развития и затронули почти 11 миллионов устройств, многие из которых находятся в экосистеме Apple iOS.
Исследовательская группа HUMAN (Satori) обнаружила Vastflux при расследовании отдельной схемы мошенничества с рекламой. Они заметили, что приложение генерирует необычно большое количество запросов, используя разные идентификаторы приложения.
Путем обратного проектирования запутанного ЯваСкрипт, который работал в приложении, команда Satori обнаружила IP-адрес сервера управления и контроля (C2), с которым оно взаимодействовало, и отправляемые им команды для создания рекламы.
Из сообщения компании:
«Команда собрала воедино информацию о масштабной операции по распространению вредоносной рекламы, в ходе которой злоумышленники внедрили ЯваСкрипт в рекламные объявления, которые они выпустили, а затем поставили целую кучу видеоплееров друг на друга, получая деньги за всю рекламу. Ни один из них не был виден человеку, использующему устройство».
Vastflux сгенерировал ставки для показа рекламных баннеров в приложении. Если он выигрывал, то размещал статичное изображение баннера и внедрял в него запутанный ЯваСкрипт.
Внедренные скрипты связывались с сервером C2, чтобы получить зашифрованную полезную нагрузку конфигурации, которая включала инструкции о позиции, размере и типе отображаемой рекламы, а также данные для подделки реальных идентификаторов приложений и издателей.
Vastflux размещал до 25 видеообъявлений друг над другом, все они приносили доход от просмотра рекламы, но ни один из них не был виден пользователю, поскольку отображался за активным окном.
Чтобы избежать обнаружения, Vastflux не использовал теги проверки рекламы, что позволяет маркетологам генерировать показатели эффективности. Избегая их, схема стала невидимой для большинства сторонних средств отслеживания эффективности рекламы.
Составив карту инфраструктуры для операции Vasstflux, HUMAN запустила три волны целевых действий в период с июня по июль 2022 года с участием клиентов, партнеров и поддельных брендов, каждая из которых нанесла удар по мошеннической деятельности.
В конце концов, Vastflux на некоторое время отключил свои серверы C2 и сократил свои операции, а 6 декабря 2022 года рекламные ставки впервые упали до нуля.
Хотя мошенничество с рекламой не оказывает злонамеренного воздействия на пользователей приложения, оно вызывает снижение производительности устройства, увеличивает расход заряда батареи и интернет-трафика и даже может привести к перегреву устройства.
Вышеперечисленное является распространенными признаками заражения рекламным ПО или мошенничества с рекламой на устройстве, и пользователи должны относиться к ним с подозрением и пытаться точно определить приложения, которые потребляют большую часть ресурсов.
Видеореклама потребляет гораздо больше энергии, чем статическая реклама, а несколько скрытых видеоплееров нелегко скрыть от мониторов производительности, поэтому очень важно всегда следить за запущенными процессами и выявлять признаки проблем, предупреждают исследователи.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
22882
Комментариев пока не было