Araştırmacılar, başta iOS cihazlarda olmak üzere sahte reklamlar yayınlayan devasa bir sahte uygulama ağı ortaya çıkardı.
İşlem, Video Reklam Sunma Şablonu spesifikasyonunun yanı sıra sahte uygulamalar içindeki kötü amaçlı kodu gizlemek için çok sayıda IP adresi ve DNS kaydı değiştirmek için fast-flux tekniğini kullanmasına atıfta bulunarak ‘Vastflux’ olarak adlandırıldı.
Siber Güvenlik Ekibi HUMAN, başka bir reklam dolandırıcılığı ağıyla ilgili bir soruşturma sırasında Vastflux’u keşfetti ve günde 12 milyardan fazla reklam teklifi isteği oluşturduğunu ve çoğu iOS olan 11 milyondan fazla cihazı etkilediğini tespit etti.
Araştırmacılar, sağlıksız miktarda istek oluşturmak için birden çok uygulama kimliği kullanan bir uygulamaya rastladıklarında kampanya hakkında bilgilendirildiler.
Karartılmış JavaScript kodunu tersine mühendislikten geçirdikten sonra, uygulamanın iletişim halinde olduğu ve uygulamaya reklam oluşturma komutlarını gönderen ana sunucuyu buldular.
Buradan araştırmacılar, yaklaşık 2.000 sahte uygulamayı içeren tüm ağı ortaya çıkardı. Açıkladıkları gibi, bu kötü uygulamalardaki kötü amaçlı reklamcılık “bir sürü video oynatıcıyı üst üste yığdı ve cihazı kullanan kişi hiçbirini görmediği halde tüm reklamlar için para aldı.”
Reklam afişlerini görüntülemek için verdiği teklifleri kazandığında Vastflux, içine gizli JavaScript kodunu enjekte ederdi. Bu, C2 sunucusunun sahte reklam yapmak için gereken verileri almasına neden olur. 25 adede kadar video aynı anda çalışır, ancak etkin pencerenin arkasında görüntülendikleri için kullanıcı tarafından görülmez.
Şema, reklam performansı izleyicilerinin algılamasını önlemek için performans metriklerini görüntülemek için gereken reklam doğrulama etiketlerini de kullanmıyordu.
HUMAN, müşterilerin ve yanıltılan markaların yardımıyla Haziran ve Temmuz 2022 arasında Vastflux’e yönelik bir dizi hedefli saldırı başlattı. C2 sunucuları, operasyonları yavaşladığından bir süre sonra çevrimdışı oldu ve 2022’de tüm reklam teklifleri sıfıra ulaştı. Aralık 2022.
Kampanya, virüs bulaşmış cihazlar üzerinde büyük bir güvenlik etkisi yaratmamış gibi görünse de, bazı durumlarda performans sorunlarına, pilin bitmesine ve aşırı ısınmaya neden oldu.
Bunlar tipik bir enfeksiyon belirtileridir, bu nedenle bildiriminiz cihazınıza bu şekilde gelirse dikkat edin. Bir iPhone’da CPU ve RAM gibi performansla ilgili donanımların kullanımını yerel olarak izleyemeseniz de, bunu yapabilen üçüncü taraf uygulamaları vardır. Ayrıca, iOS’ta pil kullanımını cihaz ayarları altında görüntüleyebilirsiniz; bu, şüpheli uygulamaların varlığına dair bazı göstergeler verebilir.