Massiccia operazione di frode pubblicitaria smantellata dopo aver colpito milioni di dispositivi iOS
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 23 Gennaio 2023
Tags: #apple, #iphone, #ios, #sicurezza, #privacy
Tags: #apple, #iphone, #ios, #sicurezza, #privacy
Massiccia operazione di frode pubblicitaria smantellata dopo aver colpito milioni di dispositivi iOS
Una massiccia operazione di frode pubblicitaria soprannominata "Vastflux" che ha falsificato più di 1.700 applicazioni di 120 editori, principalmente per iOS, è stata interrotta dai ricercatori di sicurezza della società di sicurezza informatica HUMAN.
Il nome dell'operazione è stato derivato dal modello di pubblicazione di annunci VAST e dalla tecnica di evasione "fast flux" utilizzata per nascondere il codice dannoso modificando rapidamente un gran numero di indirizzi IP e record DNS associati a un singolo dominio.
Secondo il rapporto di HUMAN, Vastflux ha generato oltre 12 miliardi di richieste di offerte al giorno al suo apice e ha avuto un impatto su quasi 11 milioni di dispositivi, molti nell'ecosistema iOS di Apple.
Dettagli Vastflux
Il team di ricerca di HUMAN (Satori) ha scoperto Vastflux mentre indagava su uno schema separato di frode pubblicitaria. Hanno notato che un'app stava generando un numero insolitamente elevato di richieste utilizzando ID app diversi.
Attraverso il reverse engineering del JavaScript offuscato che operava nell'app, il team di Satori ha scoperto l'indirizzo IP del server di comando e controllo (C2) con cui stava comunicando e i comandi di generazione degli annunci che ha inviato.
"Ciò che il team ha messo insieme è stata una vasta operazione di malvertising in cui i malintenzionati hanno iniettato JavaScript nelle creatività pubblicitarie che hanno pubblicato, quindi hanno impilato un intero gruppo di lettori video uno sopra l'altro, venendo pagati per tutti gli annunci quando nessuno di loro erano visibili alla persona che utilizzava il dispositivo." - UMANO
Vastflux ha generato offerte per la visualizzazione di banner pubblicitari in-app. Se vinceva, posizionava un'immagine banner statica e vi iniettava JavaScript offuscato.
Gli script inseriti hanno contattato il server C2 per ricevere un payload di configurazione crittografato, che includeva istruzioni sulla posizione, le dimensioni e il tipo di annunci da visualizzare, nonché dati per lo spoofing di app reali e ID publisher.
Vastflux ha impilato fino a 25 annunci video uno sopra l'altro, generando tutti entrate per visualizzazioni di annunci, ma nessuno di essi era visibile all'utente mentre veniva visualizzato dietro la finestra attiva.
Per eludere il rilevamento, Vastflux ha omesso l'uso dei tag di verifica degli annunci, che consentono agli esperti di marketing di generare metriche sulle prestazioni. Evitandoli, lo schema è stato reso invisibile alla maggior parte dei tracker del rendimento degli annunci di terze parti.
Abbattimento di Vastflux
Dopo aver mappato l'infrastruttura per l'operazione Vasstflux, HUMAN ha lanciato tre ondate di azioni mirate tra giugno e luglio 2022, coinvolgendo clienti, partner e marchi contraffatti, ognuno dei quali ha inferto un duro colpo all'attività fraudolenta.
Alla fine, Vastflux ha messo offline i suoi server C2 per un po' e ha ridotto le sue operazioni, e il 6 dicembre 2022 le offerte pubblicitarie sono scese a zero per la prima volta.
Sebbene la frode pubblicitaria non abbia un impatto dannoso per gli utenti dell'app, provoca un calo delle prestazioni del dispositivo, aumenta l'utilizzo della batteria e dei dati Internet e può persino portare al surriscaldamento del dispositivo.
Quanto sopra sono segni comuni di infezioni da adware o frodi pubblicitarie nel dispositivo e gli utenti dovrebbero trattarli con sospetto e cercare di individuare le app che rappresentano la maggior parte del consumo di risorse.
Gli annunci video consumano molta più energia degli annunci statici e più lettori video nascosti non sono facili da nascondere ai monitor delle prestazioni, quindi è fondamentale tenere sempre d'occhio i processi in esecuzione e cercare segni di problemi.