• Пт. Фев 3rd, 2023

Афера Vastflux затронула более 11 миллионов устройств, в основном iOS.

Афера Vastflux затронула более 11 миллионов устройств, в основном iOS.

Исследователи из HUMAN’s Satori Threat Intelligence Group Обнаружить и прервал масштабную мошенническую кампанию Vastflux по рекламе вредоносного ПО. В его рамках было подделано более 1700 приложений от 120 издателей (в основном для iOS) и пострадало около 11 млн устройств.

Кампания Wastflux была обнаружена случайно при расследовании одной схемы мошенничества с рекламой. Например, исследователи заметили, что безымянное популярное приложение для iOS генерирует необычно большое количество запросов с использованием разных идентификаторов приложений. Перевернув обфусцированный JavaScript, запущенный в приложении, специалисты нашли IP-адрес управляющего сервера, а также команды, отправляемые сервером для создания рекламы. По словам исследователей, на этом этапе они попадали в «кроличью нору, которая становилась все глубже и глубже».

В отчете компании говорится, что операторы Wasteflux генерировали бид-запросы на показ баннерной рекламы в приложениях (на пике кампании их количество достигало 12 млрд в сутки). Если их запрос выигрывал, они ставили статический флаг, в который внедрялся запутанный JavaScript. Скрипты связались с сервером управления и контроля, чтобы получить зашифрованную полезную нагрузку настроек, которая включала инструкции о положении, размере и типе рекламы, отображаемой за баннером, а также данные для подделки реального приложения и идентификатора издателя.

«Злоумышленники внедряли JavaScript в свою рекламу, а затем накладывали кучу видеоплееров друг на друга, получая деньги за всю рекламу, хотя человек, использующий устройство, на самом деле ее вообще не видел», — поясняют эксперты.

Операторы Vastflux размещали до 25 видеообъявлений друг над другом, и все они приносили им доход от рекламы, хотя ни одно из объявлений не было видно пользователю, поскольку они отображались за пределами активного окна.

«Vastflux действовал как ботнет. Если рекламное место взломано, оно отображает всплески рекламы, которые пользователь не может видеть или с которыми не может взаимодействовать», — пишут аналитики.

Чтобы избежать обнаружения, Vastflux не использует теги проверки рекламы, которые позволяют маркетологам создавать показатели эффективности. Без них эта схема стала почти невидимой для большинства сторонних инструментов отслеживания эффективности рекламы.

Эксперты пишут, что после картирования инфраструктуры операции Wastflux в июне-июле 2022 года было запущено три волны «атак» на мошенников, поддержанных рядом клиентов, партнеров и фейковых брендов. Сначала это вынудило операторов Wasteflux временно закрыть свои C&C-серверы и значительно сократить масштабы операций, а 6 декабря 2022 года мошеннические запросы ставок впервые были сведены к нулю.

Source

ЧИТАТЬ   Расширенная поддержка Windows 7 и 8.1 заканчивается на этой неделе