Los investigadores de seguridad han descubierto una nueva estafa publicitaria «altamente sofisticada» que afecta a más de 11 millones de dispositivos en todo el mundo. Apodado Vastflux, el cerebro detrás de este fraude publicitario falsificó más de 1700 aplicaciones y defraudó al menos a 120 editores de anuncios. El ataque aprovechó la publicidad programática, que es esencialmente publicidad en línea automatizada.
Vastflux abusó de los anuncios programáticos en dispositivos móviles
Cada vez que abra una aplicación o sitio web con publicidad, verá varios anuncios en todas partes. Pero lo que no ves son las empresas compitiendo por ese espacio publicitario. Todo sucede detrás de escena. Los anuncios que aparecen en pantalla se seleccionan a través de una serie de subastas instantáneas automatizadas conocidas como publicidad programática. Los editores de anuncios pagan por cada espacio publicitario que obtienen en una aplicación o sitio web.
Los creadores de Vastflux explotaron este proceso en aplicaciones móviles (sobre todo iOS, pero también algunas aplicaciones de Android) para ejecutar la estafa. Al principio, tratarían legítimamente de comprar un espacio publicitario en una aplicación popular. Una vez que ganan la subasta de un anuncio, los atacantes insertan un código JavaScript malicioso en ese anuncio (vía). Esto les permitió apilar sigilosamente hasta 25 anuncios de video en el mismo espacio publicitario. Si bien los usuarios solo verían un anuncio en su teléfono, Vastflux registró 25 visitas y se le pagó por cada una.
Dado que 25 solicitudes de anuncios del mismo dispositivo al mismo tiempo generarían sospechas, los atacantes falsificaron los datos de anuncios de 1700 aplicaciones. Esto les ayudó a hacer que pareciera que las solicitudes de anuncios provienen de diferentes dispositivos, es decir, de 25 espacios publicitarios diferentes. Pero en realidad, solo compraron un espacio publicitario y acumularon varios videos para engañar a los editores. Vastflux también utilizó varias otras tácticas para evitar la detección, como la modificación de etiquetas de anuncios.
En su punto máximo en junio del año pasado, Vastflux realizó 12 mil millones de solicitudes de anuncios por día. Dado que los usuarios solo ven un anuncio, es muy poco probable que sospechen de él. Sus teléfonos consumirían más energía y recursos de procesador al usar las aplicaciones afectadas, ya que los dispositivos tienen que procesar varios videos al mismo tiempo, pero los usuarios culparían a la aplicación en sí más que a cualquier otra cosa. Además, el ataque se detendrá una vez que desaparezca el anuncio. Esto hace que la detección sea aún más difícil.
Los investigadores han desacreditado esta estafa publicitaria
En total, Vastflux afectó a más de 11 millones de dispositivos Android e iOS. Los creadores pueden haber hecho una fortuna significativa al estafar a los editores de anuncios con esta estafa. Los investigadores de Human Security descubrieron la estafa en junio pasado y trabajaron con sus socios para interrumpir el ataque. Después de varias interrupciones, los creadores de Vastflux desconectaron los servidores el mes pasado. Pero los mismos delincuentes también habrían cometido fraude publicitario en el pasado. Entonces, es probable que regresen con nuevas tácticas.
“Organizar una eliminación privada de esta magnitud y gravedad no es poca cosa, y quiero tomarme un momento para agradecer a todos los involucrados, incluido el Equipo de Investigación e Inteligencia de Amenazas de Human Satori, el equipo de clean.io y los líderes de la industria que crearon The Human Collective que están comprometidos con hacer que el ecosistema programático sea seguro y humano”, dijo Gavin Reid, CISO (director de seguridad de la información) en Human Security.
