Розкрито схему масового рекламного шахрайства: під прицілом опинилося 11 мільйонів телефонів

Дослідники виявили шахрайство з рекламою, вивчаючи наслідки спуфінг-атаки, від якої сильно постраждав застосунок iOS.

Що трапилося

Дослідниками питань безпеки з Human Security виявлено нову «високоінтелектуальну» схему рекламного шахрайства, яка вразила понад 11 мільйонів пристроїв по всьому світу. Зловмисники, які стоять за схемою, що вже отримала назву Vastflux, спромоглися зімітувати роботу понад 1 700 застосунків, ошукавши щонайменше 120 рекламодавців. Атака базувалася на махінаціях із системою програмної реклами, яка, за своєю природою, є автоматизованою рекламою в Інтернеті.

Деталі схеми

Щоразу, коли ви відкриваєте застосунок чи web-сайт, що фінансується коштом розміщуваної реклами, ви бачите кілька рекламних повідомлень. Однак, при цьому ви й гадки не маєте про запеклу боротьбу між різними компаніями за право розмістити свою рекламу на цьому майданчику. Все це відбувається за лаштунками. Рекламні повідомлення, які з’являються у вас на екрані, відбираються через серію автоматизованих миттєвих аукціонів, відомих як програмна реклама. Рекламодавці платять за кожне рекламне місце, яке вони отримують у застосунку чи на web-сайті.

Творці Vastflux розробили схему, яка дозволила вплинути на цей процес у мобільних застосунках (зокрема для iOS, а також у кількох застосунках для Android), що уможливило шахрайські дії. Спочатку вони законно намагалися купити рекламний слот у популярному застосунку. І щойно зловмисники вигравали аукціон на розміщення своєї реклами, вони вставляли у цю рекламу шкідливий код JavaScript. Це дозволило їм непомітно розміщувати до 25 рекламних відеороликів один за одним в межах одного рекламного слота. І у той час, коли користувачі бачать на екранах своїх телефонів лише одне рекламне повідомлення, Vastflux реєструє 25 переглядів та отримує гроші за кожен із них.

Оскільки 25 запитів на перегляд реклами, відправлених з одного пристрою одночасно, викликають підозри, зловмисники підробили рекламні налаштування 1700 застосунків. Це допомогло їм удати, ніби запити на показ оголошень надходять із різних пристроїв. Тобто, ніби показ реклами відбувається у 25 різних рекламних слотах. Але насправді вони купували лише один рекламний слот та розмістили на ньому кілька відео, аби обдурити видавців. Задля уникнення викриття шахрайства творці Vastflux також використовували й кілька інших тактик – наприклад, модифікацію рекламних теґів.

На піку розвитку шахрайської схеми Vastflux у червні минулого року її творці надсилали по 12 мільярдів рекламних запитів на день. Оскільки користувачі бачили лише одне рекламне повідомлення, в них навряд чи виникали якісь підозри. При цьому під час роботи вражених застосунків телефони користувачів споживали більшу кількість енергії та використовували більше ресурсів процесорів, оскільки пристрої мали обробляти одночасно декілька відео. Однак, користувачі радше звинувачували у цьому сам застосунок, аніж когось іншого. Окрім того, варто відзначити, що атака припиняється, щойно зникає рекламне повідомлення. Це ще більше ускладнює її виявлення.

Загалом Vastflux вразив понад 11 мільйонів пристроїв на Android та iOS. Цілком можливо, що творці шахрайської схеми вже заробили чималі статки, скориставшись своєю розробкою для введення в оману рекламодавців. Дослідники з агенції Human Security виявили шахрайство у червні минулого року та спільно зі своїми партнерами почали пошук шляхів для запобігання подібним атакам. Минулого місяця, після кількох збоїв, творці Vastflux вимкнули сервери. Однак, схоже на те, що зловмисники, причетні до атаки Vastflux, в минулому вже були причетні до інших шахрайських схем. Тож, є небезпека того, що в майбутньому ці ж люди можуть повернутися знову з черговою тактикою шахрайства.