120 のパブリッシャーから 1,700 以上のアプリケーションを偽装した「Vastflux」と呼ばれる大規模なアドフラウド作戦が、主に iOS 向けでしたが、サイバーセキュリティ会社 HUMAN のセキュリティ研究者によって妨害されました。
オペレーションの名前は、VAST 広告配信テンプレートと、1 つのドメインに関連付けられた多数の IP アドレスと DNS レコードを急速に変更することで悪意のあるコードを隠すために使用される「高速フラックス」回避技術に由来しています。
HUMAN のレポートによると、Vastflux はピーク時に 1 日あたり 120 億件以上の入札リクエストを生成し、Apple の iOS エコシステムに多く含まれる約 1,100 万台のデバイスに影響を与えました。
Vastflux の詳細
HUMAN (Satori) の研究チームは、別のアドフラウド スキームを調査中に Vastflux を発見しました。彼らは、アプリがさまざまなアプリ ID を使用して異常に多数のリクエストを生成していることに気付きました。
Satori チームは、アプリで動作する難読化された JavaScript をリバース エンジニアリングすることで、通信しているコマンド アンド コントロール (C2) サーバーの IP アドレスと、アプリが送信した広告生成コマンドを発見しました。
Vastflux は、アプリ内広告バナーを表示するために入札を生成しました。勝った場合は、静的なバナー画像を配置し、難読化された JavaScript を挿入しました。
挿入されたスクリプトは、C2 サーバーに接続して、表示される広告の位置、サイズ、タイプに関する指示、および実際のアプリ ID とパブリッシャー ID を偽装するためのデータを含む、暗号化された構成ペイロードを受信しました。
Vastflux は最大 25 の動画広告を積み重ねて、すべて広告ビューの収益を上げましたが、アクティブ ウィンドウの後ろにレンダリングされたため、ユーザーには表示されませんでした。
検出を回避するために、Vastflux は広告検証タグの使用を省略しました。これにより、マーケティング担当者はパフォーマンス メトリックを生成できます。これらを回避することで、このスキームはほとんどのサードパーティの広告パフォーマンス トラッカーから見えなくなりました。
Vastflux テイクダウン
Vasstflux オペレーションのインフラストラクチャをマッピングした後、HUMAN は 2022 年 6 月から 7 月にかけて、顧客、パートナー、なりすましブランドを巻き込んで標的を絞った 3 つのアクションを開始し、それぞれが不正行為に打撃を与えました。
最終的に、Vastflux は C2 サーバーをしばらくオフラインにして運用を縮小し、2022 年 12 月 6 日に初めて広告入札がゼロになりました。
アドフラウドはアプリ ユーザーに悪影響を及ぼすことはありませんが、デバイスのパフォーマンス低下を引き起こし、バッテリーやインターネット データの使用量を増やし、デバイスの過熱につながることさえあります。
上記はデバイスでのアドウェア感染またはアドフラウドの一般的な兆候であり、ユーザーはそれらを疑って扱い、リソース消費の大部分を占めるアプリを特定するように努める必要があります。
ビデオ広告は静的広告よりもはるかに多くの電力を消費し、複数の非表示のビデオ プレーヤーをパフォーマンス モニターから隠すのは簡単ではないため、実行中のプロセスを常に監視し、問題の兆候を探すことが重要です。
Comments