Хакеры удивляют: вредоносный код «озолотил» своих создателей

Хакеры удивляют: вредоносный код «озолотил» своих создателей

Мошенническая кампания Vastflux продемонстрировала, как изобретательны могут быть злоумышленники.

image

Масштабная мошенническая кампания, получившая название «Vastflux», недавно была полностью остановлена исследователями безопасности из подразделения Satori, компании HUMAN. В рамках кампании киберпреступники подделали более 1700 приложений от 120 издателей, в основном для iOS.

Данному способу мошенничества дали название «Vastflux» из-за используемого шаблона показа видеорекламы «VAST» и метода уклонения «fast flux», необходимого для сокрытия вредоносного кода путем быстрого изменения большого количества IP-адресов и записей DNS, связанных с одним доменом.

Согласно отчету HUMAN, Vastflux генерировал более 12 миллиардов запросов в день на пике своего распространения и затронул около 11 миллионов устройств, многие из которых находятся в экосистеме Apple iOS.

Подробнее о Vastflux

Исследовательская группа Satori обнаружила Vastflux при расследовании новой схемы мошенничества с рекламой. Они заметили, что приложение генерирует необычно большое количество запросов, используя разные идентификаторы.

Исследователи выполнили реверс-инжиниринг запутанного кода (см. термин «обфускация») JavaScript, который работал в приложении, и обнаружили IP-адрес сервера управления и контроля (C2), с которым оно взаимодействовало, а также отправляемые им команды для создания рекламы.

В HUMAN заявили, что в результате мошеннической кампании злоумышленники внедряли вредоносный JavaScript-код в рекламные объявления, а затем «наслаивали» видеопроигрыватели с рекламой друг на друга. Да таким образом, что ни один из них не был виден пользователю — все они отображались за активным окном. Однако с каждого запущенного видео изобретательным кибербандитам шла монетизация. «Наслоить» таким образом у них получалось до 25 видеопроигрывателей одновременно. Можно сказать наверняка, что заработать хакеры на этом предприятии успели прилично.

Рендеринг нескольких невидимых видеообъявлений

Остановка деятельности Vastflux

HUMAN составила подробную карту инфраструктуры Vastflux и запустила три волны целевых действий в период с июня по июль 2022 года. В конце концов, Vastflux на некоторое время отключил свои серверы C2 и сократил свои операции, а 6 декабря рекламные операции остановились полностью.

Хронология остановки деятельности Vastflux

Хотя мошенничество с рекламой не оказывает злонамеренного воздействия на пользователей приложений, оно вызывает снижение производительности устройств, увеличивает расход заряда батареи и интернет-трафика, а также может привести к перегреву устройства.

Вышеперечисленные симптомы являются распространенными признаками заражения вредоносным ПО или мошенничества с рекламой на устройстве. При обнаружении чего-то подобного на своём смартфоне, стоит попытаться определить приложение, которое потребляет большую часть ресурсов, и навсегда избавиться от него.

Видеореклама потребляет гораздо больше энергии, чем статическая реклама, а несколько скрытых видеоплееров — тем более. Поэтому очень важно всегда следить за запущенными процессами и вовремя выявлять признаки вредоносных программ.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь