Un equipo de investigadores de la empresa de ciberseguridad, Human Security, ha alerta de una operación masiva de fraude publicitario denominada ‘Vastflux’. Se estima que ha llegado a falsificar más de 1.700 aplicaciones, principalmente para iOS.
El nombre de la operación proviene de la plantilla de publicación de anuncios ‘Vast’ y de la técnica de evasión de «flujo rápido» utilizada para ocultar código malicioso. Esta se basa en cambiar rápidamente una gran cantidad de direcciones IP y registros DNS asociados con un solo dominio.
De acuerdo con el informe de este equipo, Vastflux generó más de 12.000 millones de ofertas por día en su punto máximo, impactando en casi 11 millones de dispositivos, muchos del ecosistema iOS de Apple.
Los investigadores descubrieron Vastflux mientras investigaban un esquema de fraude publicitario por separado. Se dieron cuenta de que una aplicación estaba generando una cantidad inusualmente grande de solicitudes con diferentes ID de aplicación.
Utilizando ingeniería inversa del JavaScript que operaba en la aplicación, el equipo descubrió la dirección IP del servidor de comando y control (C2) con el que se estaba comunicando. Así pudieron ver los comandos que generaba y los anuncios enviados.
Los atacantes superponían con el código fraudulento hasta 25 anuncios de forma que recibían dinero de las empresas anunciantes por poner sus vídeos en las apps. Sin embargo, los usuarios solo veían un anuncio, aunque en los smartphones se detectaban todos los anuncios. De ahí que la batería se agotara más rápido de lo habitual.
Para evadir la detección, Vastflux omitió el uso de etiquetas de verificación de anuncios, lo que permite a los especialistas en marketing generar métricas de rendimiento. Al evitarlos, el esquema se hizo invisible para la mayoría de los rastreadores de rendimiento de anuncios de terceros.
Así actúa el fraude publicitario de Vastflux
Después de mapear la infraestructura para la operación de Vastflux, desde Human Security lanzaron tres oleadas de acciones específicas entre junio y julio de 2022. En ellas involucraron a clientes, partners y marcas falsificadas.
Eventualmente, Vastflux desconectó sus servidores C2 por un tiempo y redujo sus operaciones, y el 6 de diciembre de 2022, las ofertas de anuncios se redujeron a cero por primera vez.
Este fraude publicitario no tiene un impacto malicioso para los usuarios de la aplicación. Sin embargo, provoca caídas en el rendimiento del dispositivo, aumenta el uso de la batería y los datos de Internet, e incluso puede provocar el sobrecalentamiento del dispositivo.
Se trata de signos comunes de infecciones de adware o fraude publicitario en el dispositivo, y los usuarios deben tratarlos con cautela y tratar de identificar las aplicaciones que tienen la mayor parte del consumo de recursos.
Asimismo, los investigadores han alertado de que este fraude ha tenido más presencia en dispositivos iOS, aunque también ha afectado a los del ecosistema Android.
Por el momento se desconoce quién puede estar detrás de este ataque.
Los anuncios en formato vídeo consumen mucha más energía que los anuncios estáticos, y múltiples reproductores de vídeo no son fáciles de ocultar en los monitores de rendimiento. Por eso es crucial estar siempre atento a los procesos en ejecución y buscar signos de problemas.
Los expertos de Human Security siguen investigando este fraude, si bien sospechan que siguen habiendo aplicaciones en las que se puede comprar espacio publicitario y los estafadores han aprovechado para introducir código JavaScript malicioso en anuncios en formato vídeo.
