Pesquisadores de segurança descobriram um novo golpe de publicidade “altamente sofisticado” que afeta mais de 11 milhões de dispositivos em todo o mundo. Apelidado de Vastflux, o cérebro por trás dessa fraude de anúncios falsificou mais de 1.700 aplicativos e defraudou pelo menos 120 editores de anúncios. O ataque abusou da publicidade programática, que é essencialmente publicidade on-line automatizada.
A Vastflux abusou da publicidade programática em dispositivos móveis
Sempre que você abre um aplicativo ou site com anúncios, você vê vários anúncios nele. Mas o que você não vê são as empresas lutando por esse espaço publicitário. Tudo acontece nos bastidores. Os anúncios que aparecem na tela são selecionados por meio de uma série de leilões instantâneos automatizados conhecidos como publicidade programática. Os editores de anúncios pagam por cada espaço de publicidade que recebem em um aplicativo ou site.
Os criadores do Vastflux abusaram desse processo em aplicativos móveis (principalmente iOS, mas também alguns aplicativos Android) para realizar o golpe. A princípio, eles tentariam legitimamente comprar um espaço publicitário em um aplicativo popular. Depois de vencer o leilão de um anúncio, os invasores inserem um código JavaScript malicioso nesse anúncio (via). Isso permitiu que eles empilhassem furtivamente até 25 anúncios em vídeo um sobre o outro no mesmo espaço de publicidade. Enquanto os usuários veriam apenas um anúncio em seu telefone, o Vastflux registraria 25 visualizações e seria pago por cada uma delas.
Como 25 solicitações de anúncios do mesmo dispositivo ao mesmo tempo levantariam suspeitas, os invasores falsificaram os detalhes de publicidade de 1.700 aplicativos. Isso os ajudou a fazer parecer que as solicitações de anúncios vêm de dispositivos separados, ou seja, de 25 locais de publicidade diferentes. Mas, na realidade, eles compraram apenas um espaço de anúncio e empilharam vários vídeos nele para fraudar os editores. A Vastflux também usou várias outras táticas para evitar a detecção, como a modificação de tags de anúncios.
Em seu pico em junho do ano passado, o Vastflux fez 12 bilhões de solicitações de anúncios por dia. Como os usuários veem apenas um anúncio, é altamente improvável que suspeitem dele. Seus telefones consumiriam mais energia e recursos do processador ao usar os aplicativos afetados, pois os dispositivos precisam processar vários vídeos simultaneamente, mas os usuários culpariam o próprio aplicativo mais do que qualquer outra coisa. Além disso, o ataque para assim que o anúncio desaparece. Isso dificulta ainda mais a detecção.
Pesquisadores desfizeram esse golpe de anúncio
No geral, o Vastflux afetou mais de 11 milhões de dispositivos Android e iOS. Seus criadores podem ter feito uma fortuna considerável fraudando os editores de anúncios com esse golpe. Pesquisadores da Human Security descobriram o golpe em junho do ano passado e trabalharam com seus parceiros para interromper o ataque. Após várias interrupções, os criadores do Vastflux derrubaram os servidores no mês passado. Mas os mesmos criminosos também executaram fraudes publicitárias no passado. Portanto, há todas as chances de que eles voltem com novas táticas.
“Orquestrar uma remoção privada dessa magnitude e gravidade não é pouca coisa, e quero agradecer a todos os envolvidos, incluindo a Equipe de Pesquisa e Inteligência de Ameaças Human Satori, a equipe da clean.io e os líderes da indústria que fazem up The Human Collective, que se dedica a tornar o ecossistema programático seguro e humano”, disse Gavin Reid, CISO (diretor de segurança da informação) da Human Security.