Ngày 23 tháng 1 năm 2023Ravie LakshmananBảo mật di động / Quảng cáo độc hại
Các nhà nghiên cứu đã đóng cửa một kế hoạch lừa đảo quảng cáo “mở rộng” đã giả mạo hơn 1.700 ứng dụng từ 120 nhà xuất bản và ảnh hưởng đến khoảng 11 triệu thiết bị.
Công ty phòng chống lừa đảo HUMAN cho biết: “VASTFLUX là một cuộc tấn công quảng cáo độc hại đã đưa mã JavaScript độc hại vào quảng cáo kỹ thuật số, cho phép những kẻ lừa đảo xếp chồng nhiều trình phát quảng cáo video vô hình lên nhau và đăng ký lượt xem quảng cáo”.
Hoạt động này được đặt tên từ việc sử dụng kỹ thuật tránh dns có tên là Fast Flux và VAST, Mẫu phân phối quảng cáo video kỹ thuật số được sử dụng để phân phát quảng cáo cho trình phát video.
Hoạt động tinh vi đặc biệt khai thác các môi trường trong ứng dụng bị hạn chế chạy quảng cáo trên iOS để đặt giá thầu nhằm hiển thị các biểu ngữ quảng cáo. Nếu phiên đấu giá thắng, vị trí quảng cáo bị tấn công sẽ được tận dụng để tiêm JavaScript lừa đảo nhằm thiết lập liên hệ với máy chủ từ xa để truy xuất danh sách ứng dụng được nhắm mục tiêu.
Điều này bao gồm các ID gói thuộc về các ứng dụng hợp pháp để thực hiện cuộc tấn công được gọi là tấn công giả mạo ứng dụng, trong đó một ứng dụng lừa đảo giả vờ là một ứng dụng được đánh giá cao nhằm lừa các nhà quảng cáo đặt giá thầu cho không gian quảng cáo.
Mục tiêu cuối cùng, theo CON NGƯỜI, là đăng ký lượt xem cho tối đa 25 quảng cáo video bằng cách xếp chúng chồng lên nhau theo cách hoàn toàn vô hình đối với người dùng và tạo doanh thu bất hợp pháp.
“Tuy nhiên, nó không dừng lại với các quảng cáo xếp chồng lên nhau,” công ty cho biết. “Đối với nhiều quảng cáo có thể hiển thị trên thiết bị của người dùng cùng một lúc, họ tiếp tục tải quảng cáo mới cho đến khi vùng quảng cáo có mã quảng cáo độc hại bị đóng.”
“Những kẻ đứng sau kế hoạch VASTFLUX rõ ràng có hiểu biết sâu sắc về hệ sinh thái quảng cáo kỹ thuật số”, nó nói thêm, đồng thời cho biết chiến dịch cũng đưa ra một “danh sách phát” quảng cáo vô tận để lừa gạt cả công ty quảng cáo và ứng dụng hiển thị quảng cáo.
Việc gỡ bỏ VASTFLUX diễn ra ba tháng sau khi Scylla bị gián đoạn, một hoạt động lừa đảo nhắm mục tiêu vào các bộ công cụ phát triển phần mềm (SDK) quảng cáo trong 80 ứng dụng Android và 9 ứng dụng iOS được xuất bản trên mặt tiền cửa hàng chính thức.
VASTFLUX, tạo ra hơn 12 tỷ yêu cầu giá thầu mỗi ngày vào lúc cao điểm, chỉ là mạng mới nhất trong một loạt các mạng botnet lừa đảo quảng cáo đã bị đóng cửa trong những năm gần đây, sau 3ve, PARETO và Methbot.
