VASTFLUX afectó a más de 11 millones de dispositivos
Los investigadores desmontaron un esquema de fraude publicitario "expansivo" que falsificó más de 1.700 aplicaciones de 120 editores y afectó a aproximadamente 11 millones de dispositivos.
"VASTFLUX fue un ataque de publicidad maliciosa que inyectó un código JavaScript malicioso en las creatividades de anuncios digitales, lo que permitió a los estafadores apilar numerosos reproductores de anuncios de vídeo invisibles uno detrás de otro y registrar las vistas de anuncios", dijo la firma de prevención de fraude HUMAN.
La operación recibe su nombre del uso de una técnica de evasión de DNS llamada Fast Flux y VAST, una plantilla de publicación de anuncios de vídeo digital que se emplea para publicar anuncios en reproductores de vídeo.
La sofisticada operación explotó particularmente los entornos restringidos en la aplicación que ejecutan anuncios en iOS para realizar ofertas para mostrar banners publicitarios. Si se gana la subasta, el espacio publicitario secuestrado se aprovecha para inyectar JavaScript malicioso que establece contacto con un servidor remoto para recuperar la lista de aplicaciones a las que se apunta.
Esto incluye los ID de paquete que pertenecen a aplicaciones legítimas para realizar lo que se denomina un ataque de suplantación de identidad, en el que una aplicación fraudulenta se hace pasar por una aplicación de gran prestigio en un intento de engañar a los anunciantes para que presenten ofertas por el espacio publicitario.
El objetivo final, según HUMAN, era registrar visualizaciones de hasta 25 anuncios de vídeo colocándolos uno encima del otro de una manera completamente invisible para los usuarios y generando ingresos ilícitos.
"Sin embargo, no se detiene con los anuncios apilados", dijo la compañía. "Para tantos de los que podrían estar renderizándose en el dispositivo de un usuario a la vez, siguen cargando nuevos anuncios hasta que se cierra el espacio publicitario con el código publicitario malicioso".
"Los actores detrás del esquema VASTFLUX claramente tienen una comprensión íntima del ecosistema de publicidad digital", agregó, además afirmando que la campaña también generó una "lista de reproducción" interminable de anuncios para defraudar tanto a las empresas de publicidad como a las aplicaciones que muestran anuncios.
El desmantelamiento de VASTFLUX llega tres meses después de la interrupción de Scylla, una operación de fraude dirigida a kits de desarrollo de software (SDK) publicitarios dentro de 80 aplicaciones de Android y 9 aplicaciones de iOS publicadas en las tiendas oficiales.
VASTFLUX, que generó más de 12 mil millones de solicitudes de ofertas por día en su punto máximo, también es el último de una serie de botnets de fraude publicitario que se han cerrado en los últimos años, después de 3ve, PARETO y Methbot.
