網絡安全公司 HUMAN 的安全研究人員破壞了一項名為“Vastflux”的大規模廣告欺詐行動,該行動欺騙了 120 家發布商的 1,700 多個應用程序,其中大部分是針對 iOS 的。
該操作的名稱來源於 VAST 廣告服務模板和“快速通量”規避技術,該技術用於通過快速更改與單個域關聯的大量 IP 地址和 DNS 記錄來隱藏惡意代碼。
根據 HUMAN 的報告,Vastflux 在高峰期每天產生超過 120 億次出價請求,影響了近 1100 萬台設備,其中許多設備位於 Apple 的 iOS 生態系統中。
Vastflux 詳情
HUMAN (Satori) 的研究團隊在調查一個單獨的廣告欺詐計劃時發現了 Vastflux。 他們注意到一個應用使用不同的應用 ID 生成異常大量的請求。
通過對應用程序中運行的混淆 JavaScript 進行逆向工程,Satori 團隊發現了它與之通信的命令和控制 (C2) 服務器 IP 地址以及它發送的廣告生成命令。
“團隊拼湊的是一個廣泛的惡意廣告操作,不良行為者將 JavaScript 注入他們發布的廣告創意中,然後將一大堆視頻播放器堆疊在一起,在沒有播放器的情況下獲得所有廣告的報酬 使用該設備的人可以看到。” - 人類
Vastflux 為顯示應用內廣告橫幅生成出價。 如果它贏了,它會放置一個靜態橫幅圖像並向其中註入經過混淆處理的 JavaScript。
注入的腳本聯繫 C2 服務器以接收加密的配置負載,其中包括有關要顯示的廣告的位置、大小和類型的說明,以及用於欺騙真實應用和發布者 ID 的數據。
Vastflux 將多達 25 個視頻廣告堆疊在一起,所有視頻廣告都產生了廣告觀看收入,但用戶看不到任何廣告,因為它們在活動窗口後面呈現。
為了逃避檢測,Vastflux 省略了廣告驗證標籤的使用,這允許營銷人員生成性能指標。 通過避免這些,該方案對大多數第三方廣告效果跟踪器是不可見的。
Vastflux 下架
在繪製了 Vasstflux 運營的基礎設施後,HUMAN 在 2022 年 6 月至 2022 年 7 月期間發起了三波有針對性的行動,涉及客戶、合作夥伴和被欺騙的品牌,每一次都對欺詐活動造成了打擊。
最終,Vastflux 使其 C2 服務器離線了一段時間並縮減了運營規模,並在 2022 年 12 月 6 日首次將廣告出價降至零。
雖然廣告欺詐不會對應用用戶造成惡意影響,但它會導致設備性能下降,增加電池和互聯網數據的使用,甚至可能導致設備過熱。
以上是設備中廣告軟件感染或廣告欺詐的常見跡象,用戶應以懷疑的態度對待它們,並設法查明佔大部分資源消耗的應用。
視頻廣告比靜態廣告消耗更多的電量,而且多個隱藏的視頻播放器不容易隱藏在性能監控器之外,因此始終關注正在運行的進程並尋找故障跡象至關重要。
如若转载,请注明出处:https://www.ozabc.com/it/534515.html