Wired: Înșelătoria la care au participat 11 milioane de telefoane. Vastflux, una dintre cele mai mari fraude publicitare descoperite vreodată

De fiecare dată când deschizi o aplicație sau un website, se produce o avalanșă de procese invizibile, fără ca tu să știi asta. În culise, zeci de agenții de publicitate se întrec pentru atenția ta: își doresc ca anunțurile lor să-ți apară pe ecran. Pentru fiecare anunț, o serie de licitații instantanee determină frecvent ce anunțuri urmează să vezi. Această publicitate automatizată, cunoscută adesea ca publicitate programatică, este o afacere rentabilă, cu 418 miliarde de dolari investiți anul trecut. Dar este, de asemenea, mediul perfect pentru abuz.

Cercetătorii din domeniul securității au dezvăluit un atac nou, pe scară largă, asupra unui ecosistem online de publicitate, care a afectat milioane de oameni, a fraudat sute de companii și cel mai probabil a adus creatorilor săi niște profituri considerabile. Atacul, supranumit Vastflux, a fost descoperit de către cercetătorii de la Securitate Umană, o companie specializată în fraudă și activități bot. Atacul a afectat 11 milioane de telefoane, agresorii falsificând 1.700 de aplicații și targetând 120 de editori. La apogeul său, agresorii trimiteau 12 miliarde de cereri pentru anunțuri pe zi.

„Când am primit prima dată rezultatele volumului atacului, a trebuit să verific numerele de mai multe ori”, povestește Marion Habiby, o cercetătoare de date la Securitatea Umană. Habiby descrie atacul ca pe unul dintre cele mai sofisticate văzute de companie și ca pe unul dintre cele mai mari. „Este evident faptul că indivizii erau bine organizați și că au mers până în pânzele albe pentru a eluda detectarea, asigurându-se că atacul va dura cât mai mult timp posibil – și că vor face cât mai mulți bani posibil”, spune Habiby.

Publicitatea online și mobilă este o afacere complexă, și pe alocuri dubioasă. Dar generează o grămadă de bani celor implicați. În fiecare zi, miliarde de anunțuri sunt plasate pe site-uri și în aplicații – agenții de publicitate sau rețelele publicitare plătesc pentru ca anunțurile lor să fie afișate și fac bani atunci când oamenii le accesează sau când le văd – și o bună parte din acest proces se petrece când deschizi un site sau o aplicație.

Vastflux a fost depistat pentru prima dată de cercetătorul Vikas Parthasarathy, de la Securitate Umană, în vara anului 2022, când investiga un pericol diferit. Habiby spune că operarea fraudei implica mulți pași, și că agresorii din spatele ei au adoptat o serie de măsuri de precauție pentru a nu fi prinși.

În primul rând, grupul din spatele atacului –  Securitatea Umană i-a păstrat anonimatul, din cauza investigațiilor în plină desfășurare – țintea aplicațiile populare și încerca să cumpere un spațiu publicitar în interiorul lor. „Ei nu plănuiau să preia controlul asupra unui întreg telefon, sau a unei aplicații întregi, ci pur și simplu se infiltrau printr-un singur spațiu publicitar”, spune Habiby.

Odată ce Vastflux câștiga licitația pentru un anunț, grupul insera un cod JavaScript malițios în acel anunț, pentru a permite pe neobservate mai multor anunțuri video să se suprapună unul peste altul.

În linii generale, agresorii puteau prelua controlul asupra sistemului de publicitate, încât atunci când un telefon afișa un anunț în aplicația afectată, erau de fapt 25 de anunțuri plasate unul peste altul. Agresorii erau plătiți pentru fiecare anunț, iar tu n-ai fi văzut decât singur anunț în telefon. Totuși, bateria telefonului s-ar fi terminat mai rapid decât de obicei, după procesarea anunțurilor frauduloase.

„Această schemă este genială, pentru că în momentul în care anunțul dispare, atacul se oprește, ceea ce înseamnă că nu va fi descoperit cu ușurință”, explică Habiby.

Amploarea acestei scheme era colosală: în iunie 2022, la apogeul activității grupului, erau trimise 12 miliarde de cereri pe zi. Securitatea Umană spune că atacul era preponderent direcționat împotriva dispozitivelor iOS, deși telefoanele Android erau și ele ținte. În total, se estimează că frauda a avut un impact asupra a 11 milioane de dispozitive. Există puține lucruri pe care deținătorii dispozitivelor le-ar fi putut face în privința atacului, în contextul în care aplicațiile legitime și procesele de publicitate erau afectate.

Purtătorul de cuvânt Google, Michael Aciman, spune că compania are politici strice împotriva „traficului invalid” și că exista o „expunere” minimă la Vastflux pe rețelele sale. „Echipa noastră a evaluat riguros rezultatele raportului și au alertat imediat oamenii legii”, spune Aciman. Apple n-a răspuns la solicitarea WIRED pentru comentarii.

Anunțurile mobile frauduloase pot lua diverse forme. Fenomenul acesta variază, ca și Vastflux, de la tipuri de suprapunere a anunțurilor și ferme de telefoane, la ferme de click-uri și la falsificarea SDK-urilor. Pentru deținătorii de telefoane, bateriile care mor rapid, salturile mari de frecvență în utilizarea datelor, sau aprinderea bruscă a ecranelor pot fi semnele că un dispozitiv este afectat de fraudă publicitară.

În noiembrie 2018, cea mai mare investigație FBI a fraudei publicitare s-a soldat cu acuzarea a opt bărbați de operarea unor scheme de publicitate frauduloasă. Și în 2020, Uber a câștigat un proces penal pentru fraudă publicitară, după ce o companie pe care a angajat-o pentru a atrage oameni, a făcut asta recurgând la „click flooding”.

Pentru moment, Vastflux a fost oprit. În iunie anul trecut, Securitatea Umană și alte companii cu care colabora pentru a implementa măsuri împotriva fraudei publicitare au început să contracareze activ grupul și să facă față atacului. Trei perturbări separate ale Vastflux au avut loc în iunie și iulie 2022, reducând numărul de cereri pentru anunțuri ale atacului la sub un milliard pe zi. „Noi am identificat indivizii din spatele operațiunii și am lucrat cu organizațiile afectate pentru a minimaliza frauda”, declară compania într-o postare de blog.