Çoğu iOS için olmak üzere 120 yayıncıdan 1.700’den fazla uygulamayı yanıltan ‘Vastflux’ adlı devasa bir reklam dolandırıcılığı operasyonu, siber güvenlik şirketi HUMAN’daki güvenlik araştırmacıları tarafından kesintiye uğratıldı.
İşlemin adı, VAST reklam sunma şablonundan ve tek bir etki alanıyla ilişkili çok sayıda IP adresini ve DNS kaydını hızla değiştirerek kötü amaçlı kodu gizlemek için kullanılan “hızlı akış” kaçırma tekniğinden türetilmiştir.
HUMAN’ın raporuna göre Vastflux, zirvedeyken günde 12 milyardan fazla teklif talebi oluşturdu ve çoğu Apple’ın iOS ekosisteminde bulunan yaklaşık 11 milyon cihazı etkiledi.
Vastflux ayrıntıları
HUMAN’daki (Satori) araştırma ekibi, ayrı bir reklam sahtekarlığı planını araştırırken Vastflux’u keşfetti. Bir uygulamanın, farklı uygulama kimliklerini kullanarak alışılmadık derecede fazla sayıda istek oluşturduğunu fark ettiler.
Satori ekibi, uygulamada çalışan karartılmış JavaScript’e tersine mühendislik uygulayarak, iletişim kurduğu komut ve kontrol (C2) sunucusu IP adresini ve gönderdiği reklam oluşturma komutlarını keşfetti.
Vastflux, uygulama içi reklam afişlerini görüntülemek için teklifler oluşturdu. Kazanırsa, statik bir banner resmi yerleştirdi ve içine gizlenmiş JavaScript enjekte etti.
Enjekte edilen komut dosyaları, gösterilecek reklamların konumu, boyutu ve türüne ilişkin talimatların yanı sıra gerçek uygulama ve yayıncı kimliklerini yanıltmaya yönelik verileri içeren şifreli bir yapılandırma yükü almak için C2 sunucusuyla iletişime geçti.
Vastflux, tümü reklam görüntüleme geliri sağlayan 25 adede kadar video reklamı üst üste yığdı, ancak etkin pencerenin arkasında oluşturuldukları için bunların hiçbiri kullanıcı tarafından görülmedi.
Tespitten kaçınmak için Vastflux, pazarlamacıların performans ölçümleri oluşturmasına olanak tanıyan reklam doğrulama etiketlerinin kullanımını kaldırdı. Bunlardan kaçınarak, şema çoğu üçüncü taraf reklam performansı izleyicisi için görünmez hale getirildi.
Vastflux yayından kaldırma
Vasstflux operasyonu için altyapının haritasını çıkaran HUMAN, Haziran ve Temmuz 2022 arasında müşterileri, iş ortaklarını ve sahte markaları içeren ve her biri dolandırıcılık faaliyetine bir darbe indiren üç hedefli eylem dalgası başlattı.
Sonunda Vastflux, C2 sunucularını bir süreliğine çevrimdışına alarak operasyonlarını küçülttü ve 6 Aralık 2022’de reklam teklifleri ilk kez sıfıra indi.
Reklam dolandırıcılığı, uygulama kullanıcıları için kötü bir etki yaratmazken, cihazda performans düşüşlerine, pil ve internet verisi kullanımının artmasına ve hatta cihazın aşırı ısınmasına neden olabilir.
Yukarıdakiler, cihazdaki reklam yazılımı bulaşmalarının veya reklam sahtekarlığının yaygın belirtileridir ve kullanıcılar bunlara şüpheyle yaklaşmalı ve kaynak tüketiminin çoğunu oluşturan uygulamaları belirlemeye çalışmalıdır.
Video reklamlar, statik reklamlardan çok daha fazla güç tüketir ve birden çok gizli video oynatıcıyı performans izleyicilerinden gizlemek kolay değildir, bu nedenle, çalışan işlemleri her zaman göz önünde bulundurmak ve sorun belirtileri aramak çok önemlidir.