Once millones de dispositivos, más de 1.700 aplicaciones y 129 editores afectados son las impresionantes cifras que ha generado una operación de fraude publicitario que ha sido bautizada como Vastflux por los investigadores de HUMAN, una empresa experta en prevención de fraude.
La operación recibe su nombre del uso de una técnica de evasión de DNS llamada Fast Flux y VAST, una plantilla de publicación de anuncios de video digital que se emplea para publicar anuncios en reproductores de video.
Satori Threat Intelligence and Research Team de HUMAN detectó el proyecto después de observar patrones de tráfico web inusuales asociados a una popular aplicación móvil. Según los investigadores, los estafadores publicitarios prefieren los anuncios de aplicaciones móviles porque transmiten menos información a los proveedores de verificación, lo que significa que los proyectos ilícitos pueden durar más tiempo antes de ser detectados.
Según explica HUMAN en un post, «VASTFLUX fue un ataque de publicidad maliciosa que inyectó un código JavaScript malicioso en las creatividades de anuncios digitales, lo que permitió a los estafadores apilar numerosos reproductores de anuncios de video invisibles uno detrás de otro y registrar las vistas de anuncios”. Se calcula que los ciberdelincuentes generaron más de 12.000 millones de peticiones falsas.
La operación explotó los entornos restringidos en la aplicación que ejecutan anuncios en iOS para realizar ofertas y mostrar banners publicitarios. Si se gana la subasta, el espacio publicitario secuestrado se aprovecha para inyectar JavaScript malicioso que establece contacto con un servidor remoto para recuperar la lista de aplicaciones a las que se apunta.
Los investigadores aseguran que los estafadores que están detrás de Vastflux tienen “un conocimiento profundo del ecosistema de la publicidad digital; evadieron las etiquetas de verificación de anuncios, lo que dificulta que se encuentre este esquema”.
Después de analizar la operación de fraude, HUMAN lanzó tres oleadas de acciones específicas entre junio y julio de 2022, involucrando a clientes, socios y las marcas falsificadas.
