Habiby, “Oldukça dahice çünkü reklam kaybolduğu an saldırınız durur, bu da kolayca bulunamayacağınız anlamına gelir,” diye açıklıyor Habiby.
Bunun ölçeği muazzamdı: Haziran 2022’de, grup etkinliğinin zirvesindeyken, grup günde 12 milyar reklam isteği yaptı. İnsan Güvenliği, saldırının öncelikle iOS cihazlarını etkilediğini, ancak Android telefonların da vurulduğunu söylüyor. Toplamda, dolandırıcılığın 11 milyon cihazı kapsadığı tahmin ediliyor. Meşru uygulamalar ve reklamcılık süreçleri etkilendiğinden, saldırı hakkında cihaz sahiplerinin yapabileceği çok az şey var.
Google sözcüsü Michael Aciman, şirketin “geçersiz trafiğe” karşı katı politikaları olduğunu ve ağlarında sınırlı Vastflux “ifşası” olduğunu söyledi. Acıman, “Ekibimiz raporun bulgularını kapsamlı bir şekilde değerlendirdi ve derhal yaptırım uyguladı” diyor. Apple, WIRED’in yorum talebine yanıt vermedi.
Mobil reklam dolandırıcılığı birçok farklı biçimde olabilir. Bu, Vastflux’ta olduğu gibi, reklam yığınlama ve telefon grupları türlerinden tıklama grupları ve SDK sahtekarlığına kadar değişebilir. Telefon sahipleri için, pillerin hızla bitmesi, veri kullanımındaki büyük sıçramalar veya rastgele zamanlarda ekranların açılması, bir cihazın reklam sahtekarlığından etkilendiğinin işaretleri olabilir. Kasım 2018’de, FBI’ın en büyük reklam dolandırıcılığı soruşturması, sekiz kişiyi iki ünlü reklam dolandırıcılığı planı yürütmekle suçladı. (Soruşturmaya İnsan Güvenliği ve diğer teknoloji şirketleri dahil oldu.) Ve 2020’de Uber, uygulamasını daha fazla kişinin yüklemesini sağlamak için tuttuğu bir şirketin bunu “tıklama akışı” yoluyla gerçekleştirmesinin ardından bir reklam dolandırıcılığı davasını kazandı.
Vastflux örneğinde, saldırının en büyük etkisi tartışmasız genişleyen reklamcılık endüstrisinin kendisinde yer alanlar üzerinde oldu. Dolandırıcılık hem reklam şirketlerini hem de reklam gösteren uygulamaları etkiledi. Human Security’de tehdit içgörüleri üst düzey yöneticisi Zach Edwards, “Tedarik zinciri boyunca tüm bu farklı grupları, çok farklı taktiklere karşı farklı taktiklerle dolandırmaya çalışıyorlardı” diyor.
Tespit edilmekten kaçınmak için (bir telefondan aynı anda 25’e kadar reklam isteği şüpheli görünebilir), grup birden fazla taktik kullandı. 1.700 uygulamanın reklam ayrıntılarını yanıltarak, yalnızca bir uygulama kullanılırken reklamların gösterilmesine pek çok farklı uygulamanın dahil olduğu izlenimini verdiler. Vastflux ayrıca reklamlarını, yalnızca belirli etiketlerin reklamlara eklenmesine izin verecek şekilde değiştirerek, tespit edilmesini engellemesine yardımcı oldu.
Soruşturmaya kısmen dahil olan Comcast’e ait bir reklam teknolojisi şirketi olan FreeWheel’in pazar yeri kalitesi başkanı Matthew Katz, uzaydaki saldırganların giderek daha karmaşık hale geldiğini söylüyor. Katz, “Vastflux özellikle karmaşık bir plandı” diyor.
Araştırmacılar, saldırının bazı önemli altyapı ve planlamaları içerdiğini söylüyor. Edwards, Vastflux’un saldırısını başlatmak için birden fazla alan kullandığını söylüyor. Vastflux adı, bilgisayar korsanlarının kullandığı ve birden çok IP adresini tek bir alan adına bağlamayı içeren bir saldırı türü olan “hızlı akış” ve saldırıda kötüye kullanılan bir video reklam şablonu olan VAST’a dayanmaktadır. (VAST şablonunun arkasındaki Etkileşimli Reklamcılık Bürosu, yayınlandığı sırada bir yorum talebine yanıt vermemişti.) Habiby, “Bu, her zaman gördüğümüz çok basit türden bir dolandırıcılık planı değil” diyor.