Milhões de iPhones são atingidos por rede de anúncios fraudulentos

Especialistas em segurança digital desmantelaram um esquema de anúncios fraudulentos que atingiu mais de 11 milhões de dispositivos, iPhones em sua maioria, para gerar renda aos cibercriminosos. Na fraude, também foram atingidos mais de 1,7 mil aplicativos de 120 desenvolvedores diferentes, a partir de manipulações de código e sobreposição de propagandas.

• OBS, VLC, WinRAR e outros apps viram iscas em anúncios fraudulentos no Google
• 80% dos sites de pirataria exibem anúncios perigosos aos visitantes

A campanha foi batizada de Vastflux pelos pesquisadores da empresa de cibersegurança Human, em referência ao formato Vast de servir propagandas. Na campanha maliciosa, os bandidos usavam códigos em JavaScript para sobrepor até 25 anúncios em vídeo, atrás de uma imagem estática, gerando visualizações falsas sem que o usuário do smartphone percebesse o que estava acontecendo.

Identificadores e posicionamentos reais de anúncios em diferentes aplicações eram obtidos a partir de servidores de comando e controle, de forma que os anúncios exibidos parecessem legítimos. Nos bastidores, múltiplos endereços IP e DNS eram usados para realizar solicitações sucessivas, assim como inserções em leilões de espaço publicitário; sempre que um era vencido, o método entrava em ação para gerar um alto volume de interação fraudulenta.

O método também é capaz de ocultar tags de verificação, impedindo o registro de métricas de performance que possibilitariam a identificação do esquema por rastreadores. Segundo a Human, a campanha foi descoberta durante uma investigação de outra operação de anúncios fraudulentos, quando foi detectado o alto número de solicitações realizadas pelos aplicativos atingidos.

Além deste, outros sinais registrados pelos pesquisadores, que também poderiam ser notados pelos usuários, envolve uma queda na performance e aumento no consumo da bateria pelos aparelhos. Anúncios em vídeo consomem mais energia, principalmente quando reproduzidos em sequência, o que levaria a uma ideia de que algo de errado estaria acontecendo, ainda que os utilizadores não pudessem fazer nada a respeito.

Contra-ataque encerrou campanha de anúncios fraudulentos

Para os especialistas, tais elementos mostram um profundo conhecimento do funcionamento de sistemas de anúncios mobile pelos golpistas, o que permitiu que a operação seguisse adiante por alguns anos, já que os primeiros relatórios datam de 2020, ainda em uma versão preliminar do Vastflux, com bem menos alcance. Detalhes como o valor obtido pelos responsáveis, porém, não foram divulgados.

Após mapear as infraestruturas usadas pela quadrilha na operação, os times de segurança da Human realizaram três ondas de ações direcionadas entre junho e julho do ano passado. A cada operação, o alcance das campanhas envolvendo o Vastflux era reduzido até que os servidores foram desligados, com o total de anúncios exibidos chegando a zero em dezembro.

As recomendações de segurança são dadas aos desenvolvedores de aplicativos, que podem usar sistemas de desenvolvimento mais seguros e que exijam a verificação de autenticidade nas propagandas exibidas. Às plataformas que servem as propagandas, também vale a adoção de medidas que tragam maior transparência a inventários e sistemas que verifiquem a identidade de anunciantes antes de os reclames serem exibidos.

Fonte: Human Security