Masinė kenksmingų reklamų kampanija palietė 11 milijonų „iOS“ telefonų

Reklaminių skelbimų sukčiavimo operacija išardyta po to, kai nukentėjo milijonai

Kibernetinio saugumo tyrėjai sužlugdė didžiulę reklamos sukčiavimo operaciją, pavadintą „Vastflux“, kurios metu buvo suklastota daugiau kaip 1 700 120 leidėjų programų, daugiausia skirtų „iOS“ sistemai^[1]. Operacijos pavadinimas kilo iš VAST reklamos pateikimo šablono ir „greito srauto“ vengimo technikos, naudojamos kenkėjiškam kodui paslėpti greitai keičiant daugybę su vienu domenu susijusių IP adresų ir DNS įrašų.

Remiantis ekspertų ataskaita, kampanija savo piko metu generavo daugiau nei 12 milijardų reklaminių pasiūlymų užklausų per dieną ir darė poveikį beveik 11 mln. įrenginių.

Kibernetinio saugumo tyrimų komanda „Vastflux“ kampaniją aptiko tirdama atskirą reklamos sukčiavimo schemą. Jie pastebėjo, kad viena programėlė generuoja neįprastai daug užklausų naudodama skirtingus programėlės ID. Atlikusi atvirkštinę programėlėje veikiančio užmaskuoto JavaScript inžineriją, tyrėjų grupė aptiko komandų ir valdymo (C2) serverio IP adresą, su kuriuo buvo bendraujama ir iš kurio buvo siunčiamos skelbimus generuojančias komandos^[2].

Tai, kas buvo sudėliota į vieną visumą, buvo plati kenkėjiškos reklamos operacija, kurios metu piktavaliai į savo sukurtus reklaminius kūrinius įterpė JavaScript, o tada sudėjo visą krūvą vaizdo grotuvų vieną ant kito, gaudami pinigus už visas reklamas, nors nė viena iš jų nebuvo matoma įrenginiu besinaudojančiam asmeniui.

Reklaminio turinio perteklius ir jo sluoksniai naudotojui yra nematomi

„Vastflux“ – tai dviejų terminų, atspindinčių jo funkcionalumą, derinys. VAST – tai šioje operacijoje naudojamas skaitmeninių vaizdo reklamų aptarnavimo šablonas^[3]. Pavadinimą „Flux“ įkvėpė „Fast Flux“ koncepcija, kuri yra kibernetinių nusikaltėlių naudojama vengimo taktika. Kenkėjiška „Vastflux“ kampanija generavo pasiūlymus ir programėlėje rodomus reklaminius skydelius. Programa patalpindavo statinį reklaminio skydelio vaizdą ir į jį įterpdavo užšifruotą kodą.

Įšvirkšti skriptai susisiekdavo su C2 serveriu ir gaudavo užšifruotą konfigūracijos nuorodą, kurioje buvo nustatymai dėl rodomų reklamų padėties, dydžio ir tipo, taip pat duomenys, skirti suklastoti tikrus programėlės ir leidėjo ID. „Vastflux“ vienas ant kito sudėjo iki 25 vaizdo įrašų skelbimų, kurie generavo pajamas iš skelbimų peržiūrų, tačiau nė vieno iš jų naudotojas nematė, nes jie buvo atvaizduojami už aktyvaus lango.

Kad išvengtų aptikimo, kampanija papildomai nenaudojo skelbimų tikrinimo žymų, kurios leidžia rinkodaros specialistams generuoti našumo rodiklius. Vengdama jų, schema tapo nematoma daugumai trečiųjų šalių reklamos našumo sekimo priemonių.

Prieš pašalindama „Vastflux“ , komanda per dvi savaites įdiegė tris poveikio mažinimo metodus, kad apsaugotų naudotojus nuo šios kampanijos.

Kampanija sustabdyta ir pašalinta

Sudariusi operacijos infrastruktūros žemėlapį, 2022 m. birželio-liepos mėn. bendrovė „HUMAN“ pradėjo tris tikslingų veiksmų bangas, kuriose dalyvavo klientai, partneriai ir suklastoti prekių ženklai. Kiekviena iš jų sudavė smūgį sukčiavimo veiklai^[4]. Galiausiai „Vastflux“ kuriam laikui išjungė savo C2 serverius ir sumažino veiklos mastą, o 2022 m. gruodžio 6 d. skelbimų pasiūlymai pirmą kartą sumažėjo iki nulio.

Nors toks reklamos turinį naudojantis sukčiavimo metodas neturi žalingo poveikio programėlių naudotojams, dėl jo sumažėja įrenginio našumas, daugiau naudojama baterija ir interneto duomenys, o įrenginys gali net perkaisti.

Pirmiau išvardyti požymiai yra įprasti reklaminių programų užkrėtimo arba reklaminio sukčiavimo prietaise požymiai, todėl naudotojai turėtų į juos žiūrėti įtariai ir bandyti nustatyti programėlę, dėl kurios sunaudojama daugiausia išteklių. Tokie įrenginio resursų naudojimo požymiai gali būti ir viruso simptomai, tad reiktų visada atkreipti dėmesį į panašias detales.

Vaizdo skelbimai sunaudoja daug daugiau energijos nei statiniai skelbimai, o kelis paslėptus vaizdo grotuvus nelengva paslėpti nuo našumo monitorių, todėl labai svarbu visada stebėti vykdomus procesus ir ieškoti problemų požymių.