.
“É genial porque no minuto em que o anúncio desaparece, seu ataque para, o que significa que você não será encontrado facilmente”, explica Habiby.
A escala disso foi colossal: em junho de 2022, no auge da atividade do grupo, ele fez 12 bilhões de solicitações de anúncios por dia. A Human Security diz que o ataque afetou principalmente os dispositivos iOS, embora os telefones Android também tenham sido atingidos. No total, estima-se que a fraude tenha envolvido 11 milhões de dispositivos. Há pouco que os proprietários de dispositivos poderiam ter feito sobre o ataque, já que aplicativos legítimos e processos de publicidade foram afetados.
O porta-voz do Google, Michael Aciman, diz que a empresa tem políticas rígidas contra “tráfego inválido” e que havia uma “exposição” limitada do Vastflux em suas redes. “Nossa equipe avaliou minuciosamente as descobertas do relatório e tomou medidas imediatas”, diz Aciman. A Apple não respondeu ao pedido de comentário da Strong The One.
A fraude de anúncios móveis pode assumir muitas formas diferentes. Isso pode variar, como no Vastflux, de tipos de empilhamento de anúncios e farms de telefones a farms de cliques e falsificação de SDK. Para os proprietários de telefones, as baterias estão acabando rapidamente, grandes saltos no uso de dados ou as telas ligando em horários aleatórios podem ser sinais de que um dispositivo está sendo afetado por fraude de anúncios. Em novembro de 2018, a maior investigação de fraude publicitária do FBI acusou oito homens de administrar dois notórios esquemas de fraude publicitária. (A Human Security e outras empresas de tecnologia estiveram envolvidas na investigação.) E em 2020, o Uber ganhou um processo de fraude publicitária depois que uma empresa que contratou para fazer com que mais pessoas instalassem seu aplicativo o fez por meio de “inundação de cliques”.
No caso da Vastflux, o maior impacto do ataque foi indiscutivelmente sobre os envolvidos na própria indústria de publicidade em expansão. A fraude afetou empresas de publicidade e aplicativos que exibem anúncios. “Eles estavam tentando fraudar todos esses grupos diferentes ao longo da cadeia de suprimentos, com táticas diferentes contra grupos muito diferentes”, diz Zach Edwards, gerente sênior de informações sobre ameaças da Human Security.
Para evitar ser detectado – até 25 solicitações de anúncios simultâneas de um telefone pareceriam suspeitas – o grupo usou várias táticas. Eles falsificaram os detalhes de publicidade de 1.700 aplicativos, fazendo parecer que vários aplicativos diferentes estavam envolvidos na exibição dos anúncios, quando apenas um estava sendo usado. O Vastflux também modificou seus anúncios para permitir apenas que certas tags fossem anexadas aos anúncios, ajudando a evitar a detecção.
Matthew Katz, chefe de qualidade de mercado da FreeWheel, uma empresa de tecnologia de anúncios de propriedade da Comcast que esteve parcialmente envolvida na investigação, diz que os invasores no espaço estão se tornando cada vez mais sofisticados. “O Vastflux era um esquema especialmente complicado”, diz Katz.
O ataque envolveu infraestrutura e planejamento significativos, dizem os pesquisadores. Edwards diz que o Vastflux usou vários domínios para lançar seu ataque. O nome Vastflux é baseado em “fluxo rápido” – um tipo de ataque usado por hackers que envolve a vinculação de vários endereços IP a um nome de domínio – e VAST, um modelo para publicidade em vídeo, desenvolvido por um grupo de trabalho do Interactive Advertising Bureau (IAB), que foi abusado no ataque. (Shailley Singh, vice-presidente executivo, produto e diretor de operações do IAB Tech Lab, diz que o uso da versão VAST 4 de seu modelo pode ajudar a prevenir ataques como o Vastflux, e outras medidas técnicas de editores e redes de anúncios ajudariam a reduzir sua eficácia.) “Não é o tipo de esquema de fraude muito simples que vemos o tempo todo”, diz Habiby.
.
