Los investigadores han descubierto una enorme red de aplicaciones falsas que ejecutan anuncios falsos, principalmente en dispositivos iOS.
La operación se denominó ‘Vastflux’ en referencia a su uso de la especificación de plantilla de servicio de anuncios de video, así como la técnica de flujo rápido para cambiar masas de direcciones IP y registros DNS para ocultar el código malicioso dentro de las aplicaciones falsas.
El equipo de ciberseguridad HUMAN descubrió Vastflux durante una investigación de otra red de fraude publicitario y descubrió que generaba más de 12 000 millones de solicitudes de ofertas de anuncios al día y afectaba a más de 11 millones de dispositivos, la mayoría de los cuales eran iOS.
Vídeos ocultos
Los investigadores recibieron un aviso de la campaña cuando se toparon con una aplicación que estaba usando múltiples ID de aplicaciones para generar una cantidad poco saludable de solicitudes.
Después de aplicar ingeniería inversa al código JavaScript ofuscado, encontraron el servidor principal con el que se comunicaba la aplicación y que enviaba a la aplicación los comandos de generación de anuncios.
A partir de ahí, los investigadores descubrieron toda la red, que incluía casi 2000 aplicaciones falsas. Como explicaron, la publicidad maliciosa en estas malas aplicaciones había «apilado un montón de reproductores de video uno encima del otro, cobrando por todos los anuncios cuando ninguno de ellos era visible para la persona que usaba el dispositivo».
Cuando ganó las ofertas que hizo para mostrar banners publicitarios, Vastflux inyectaría el código JavaScript oculto en él. Este sería el servidor C2 para obtener los datos necesarios para hacer el anuncio falso. Se ejecutarían hasta 25 videos simultáneamente, pero permanecerían invisibles para el usuario, ya que se mostrarían detrás de la ventana activa.
El esquema tampoco usó etiquetas de verificación de anuncios, necesarias para ver las métricas de rendimiento, a fin de evitar la detección de los rastreadores de rendimiento de anuncios.
HUMAN, con la ayuda de los clientes y las marcas que fueron suplantadas, lanzó una serie de ataques dirigidos a Vastflux entre junio y julio de 2022. Los servidores C2 luego se desconectaron después de un tiempo a medida que sus operaciones disminuyeron, hasta que todas las ofertas publicitarias llegaron a cero en Diciembre 2022.
Aunque la campaña no pareció haber tenido un gran impacto en la seguridad de los dispositivos infectados, en algunos casos causó problemas de rendimiento, agotamiento de la batería y sobrecalentamiento.
Estos son signos típicos de una infección, así que preste atención si su dispositivo recibe este aviso. Aunque no puede monitorear el uso de hardware relacionado con el rendimiento, como CPU y RAM en un iPhone de forma nativa, existen aplicaciones de terceros que pueden hacerlo. Además, puede ver el uso de la batería en iOS en la configuración del dispositivo, lo que puede dar alguna indicación sobre la presencia de aplicaciones sospechosas.