Los investigadores cerraron un esquema de fraude publicitario «expansivo» que falsificó más de 1,700 aplicaciones de 120 editores y afectó a aproximadamente 11 millones de dispositivos.
«VASTFLUX fue un ataque de publicidad maliciosa que inyectó código JavaScript malicioso en creatividades de anuncios digitales, lo que permitió a los estafadores apilar numerosos reproductores de anuncios de video invisibles uno detrás de otro y registrar vistas de anuncios», la firma de prevención de fraude HUMAN dicho.
La operación recibe su nombre del uso de una técnica de evasión de DNS llamada flujo rápido y ENORMEuna plantilla de publicación de anuncios de video digital que se emplea para publicar anuncios en reproductores de video.
La operación sofisticada explotó particularmente los entornos restringidos en la aplicación que ejecutan anuncios en iOS para realizar ofertas para mostrar banners publicitarios. Si se gana la subasta, el espacio publicitario secuestrado se aprovecha para inyectar JavaScript malicioso que establece contacto con un servidor remoto para recuperar la lista de aplicaciones a las que se apunta.
El incluye el ID de paquete que pertenecen a aplicaciones legítimas para realizar lo que se denomina una ataque de suplantación de aplicacionesen el que una aplicación fraudulenta se hace pasar por una aplicación de gran prestigio en un intento de engañar a los anunciantes para que pujen por el espacio publicitario.
El objetivo final, según HUMAN, era registrar visualizaciones de hasta 25 anuncios de video colocándolos uno encima del otro de una manera que es completamente invisible para los usuarios y genera ingresos ilícitos.
«Sin embargo, no se detiene con los anuncios apilados», dijo la compañía. «Para tantos de los que podrían estar renderizándose en el dispositivo de un usuario a la vez, siguen cargando nuevos anuncios hasta que se cierra el espacio publicitario con el código publicitario malicioso».
«Los actores detrás del esquema VASTFLUX claramente tienen una comprensión íntima del ecosistema de la publicidad digital», agregó, además, afirmando que la campaña también generó una «lista de reproducción» interminable de anuncios para defraudar tanto a las empresas de publicidad como a las aplicaciones que muestran anuncios.
El desmantelamiento de VASTFLUX llega tres meses después de la interrupción de Scylla, una operación de fraude dirigida a kits de desarrollo de software (SDK) publicitarios dentro de 80 aplicaciones de Android y 9 aplicaciones de iOS publicadas en las tiendas oficiales.
VASTFLUX, que generó más de 12 mil millones de solicitudes de ofertas por día en su punto máximo, es solo el último de una serie de botnets de fraude publicitario que se han cerrado en los últimos años, después de 3ve, PARETOy Metbot.