Una sofisticada estafa publicitaria falsificó más de 1.700 aplicaciones y afectó a 11 millones de teléfonos

Investigadores de una empresa especializada en fraudes desmantelaron una sofisticada operación de estafa publicitaria en la que se falsificaron más de 1.700 aplicaciones y que afectó a unas 11 millones de personas.

VASTFLUX, como se conoce al ataque, fue descubierto por la compañía Human Security, que detalló la operación en un comunicado en su sitio web.

“HUMAN Security, Inc. líder mundial en la protección de empresas frente a ataques digitales con una defensa moderna, ha anunciado hoy el desmantelamiento de una sofisticada operación de fraude publicitario en la que se falsificaron más de 1.700 aplicaciones, dirigidas a 120 editores, que publicaban anuncios dentro de aplicaciones en casi 11 millones de dispositivos y alcanzaban un volumen máximo de 12.000 millones de solicitudes de anuncios al día. El ataque inyectaba código JavaScript malicioso en los anuncios digitales, lo que permitía a los estafadores apilar decenas de anuncios de vídeo unos sobre otros y registrar visualizaciones de anuncios completamente invisibles para el usuario”, consigna el texto.

La empresa explicó que el nombre, VASTFLUX, “deriva del concepto de “fast flux” (flujo rápido), una técnica de evasión utilizada por los ciberdelincuentes, y de VAST, la plantilla de publicación de anuncios de vídeo digital utilizada en esta operación”. También confirmó que se trata de la mayor operación descubierta por el equipo de investigación e inteligencia de amenazas de Human Security.

“Cuando obtuve los primeros resultados sobre el volumen del ataque, tuve que hacer los cálculos varias veces”, precisó Marion Habiby, científico de datos de Human Security y principal investigador del caso, en declaraciones al medio británico Wired.

“Está claro que los ciberdelincuentes estaban bien organizados y se esforzaron al máximo para evitar ser detectados, asegurándose de que el ataque durara el mayor tiempo posible y generara tanto dinero como fuera posible”, agregó.

El máximo responsable responsable de velar por la ciberseguridad de la empresa, Gavid Reid, destacó que “lo que fue técnicamente impresionante e increíblemente preocupante sobre VASTFLUX fue que los estafadores secuestraron impresiones en aplicaciones legítimas, lo que hace que sea casi imposible para los usuarios saber si están afectados”.

De acuerdo a Wired, el ataque fue detectado por primera vez por el investigador de Vikas Parthasarathy en el verano boreal de 2022. Habiby explicó al medio que el fraude presentaba varios pasos y que los responsables tomaron una serie de medidas para evitar ser descubiertos.

VASTFLUX estaba dirigido a aplicaciones populares e intentaba comprar un espacio publicitario en ellas. “No trataban de secuestrar un teléfono entero o una aplicación entera, sino que iban literalmente por un espacio publicitario”, añadió Habiby.

El equipo descubrió el ataque mientras investigaba una aplicación de iOS que se había visto gravemente afectada por un ataque de suplantación de aplicaciones. “VASTFLUX es un esquema muy sofisticado, que explota la limitada señal disponible para los socios de verificación en el entorno al que se dirigían: la publicidad in-app, especialmente en iOS. El fraude VAST ha evolucionado hasta la suplantación de ofertas en una plataforma para que aparezcan en otra, lo que convierte a estos ataques entre plataformas en un enemigo formidable”, precisa el comunicado de Human Security.

Wired explica que una vez que VASTFLUX ganaba la subasta de un anuncio, los ciberdelincuentes insertaban un código JavaScript malicioso en ese anuncio para permitir que se apilaran varios anuncios de vídeo uno encima de otro.

Es decir que VASTFLUX era capaz de secuestrar el sistema de publicidad para que al momento que un teléfono mostraba un anuncio dentro de una aplicación afectada, en realidad eran 25 los anuncios colocados uno encima del otro. De acuerdo a Wired, los atacantes cobraban por cada anuncio y el usuario sólo veía uno en su teléfono.

VASTFLUX en números

- La operación alcanzó un máximo de 12.000 millones de solicitudes de anuncios fraudulentos en un día

- 11 millones de dispositivos con anuncios en aplicaciones atacadas por VASTFLUX

- Más de 1.700 aplicaciones falsificadas por VASTFLUX en todas las plataformas

- Más de 120 editores fueron atacados

- VASTFLUX podía apilar hasta 25 anuncios uno encima de otro y cobrar por cada uno de ellos, sin mostrar ninguno en realidad

Seguir leyendo: