Enorme operação de fraude publicitária desmantelada após atingir milhões de dispositivos iOS

Uma operação maciça de fraude publicitária apelidada de 'Vastflux' que falsificou mais de 1.700 aplicativos de 120 editores, principalmente para iOS, foi interrompida por pesquisadores de segurança da empresa de segurança cibernética HUMAN.

O nome da operação foi derivado do modelo de veiculação de anúncios VAST e da técnica de evasão de "fluxo rápido" usada para ocultar códigos maliciosos alterando rapidamente um grande número de endereços IP e registros DNS associados a um único domínio.

De acordo com o relatório da HUMAN, o Vastflux gerou mais de 12 bilhões de solicitações de lances por dia em seu pico e impactou quase 11 milhões de dispositivos, muitos no ecossistema iOS da Apple.

Detalhes do Vastflux

A equipe de pesquisa da HUMAN (Satori) descobriu o Vastflux enquanto investigava um esquema de fraude de anúncios separado. Eles perceberam que um aplicativo estava gerando um número extraordinariamente grande de solicitações usando diferentes IDs de aplicativo.

Ao fazer engenharia reversa do JavaScript ofuscado que operava no aplicativo, a equipe do Satori descobriu o endereço IP do servidor de comando e controle (C2) com o qual ele estava se comunicando e os comandos de geração de anúncios enviados."O que a equipe montou foi uma operação expansiva de malvertising na qual os malfeitores injetaram JavaScript nos criativos de anúncios que emitiram e, em seguida, empilharam um monte de players de vídeo uns sobre os outros, sendo pagos por todos os anúncios quando nenhum deles eram visíveis para a pessoa que usava o dispositivo." - HUMANO

A Vastflux gerou lances para exibir banners de anúncios no aplicativo. Se ganhasse, colocava uma imagem de banner estática e injetava JavaScript ofuscado nela.

Os scripts injetados entraram em contato com o servidor C2 para receber uma carga de configuração criptografada, que incluía instruções sobre a posição, tamanho e tipo de anúncios a serem exibidos, bem como dados para falsificação de aplicativos reais e IDs de editor.

A Vastflux empilhou até 25 anúncios em vídeo um sobre o outro, todos gerando receita de exibição de anúncios, mas nenhum deles era visível para o usuário, pois eram renderizados atrás da janela ativa.

Renderização de vários anúncios em vídeo invisíveis (HUMANO)

Para evitar a detecção, o Vastflux omitiu o uso de tags de verificação de anúncios, o que permite aos profissionais de marketing gerar métricas de desempenho. Ao evitá-los, o esquema ficou invisível para a maioria dos rastreadores de desempenho de anúncios de terceiros.

Remoção do Vastflux

Tendo mapeado a infraestrutura para a operação Vasstflux, a HUMAN lançou três ondas de ação direcionada entre junho e julho de 2022, envolvendo clientes, parceiros e as marcas falsificadas, cada uma dando um golpe na atividade fraudulenta.

Por fim, a Vastflux colocou seus servidores C2 offline por um tempo e reduziu suas operações e, em 6 de dezembro de 2022, os lances de anúncios caíram para zero pela primeira vez.

Linha do tempo da remoção do Vastflux (HUMANO)

Embora a fraude de anúncios não tenha um impacto malicioso para os usuários do aplicativo, ela causa quedas de desempenho no dispositivo, aumenta o uso da bateria e dos dados da Internet e pode até levar ao superaquecimento do dispositivo.

Os sinais acima são sinais comuns de infecções por adware ou fraude de anúncios no dispositivo, e os usuários devem tratá-los com suspeita e tentar identificar os aplicativos que representam a maior parte do consumo de recursos.

Os anúncios em vídeo consomem muito mais energia do que os anúncios estáticos, e vários reprodutores de vídeo ocultos não são fáceis de ocultar dos monitores de desempenho, por isso é crucial sempre ficar de olho nos processos em execução e procurar sinais de problemas.