Les chercheurs ont découvert un vaste réseau de fausses applications exécutant de fausses publicités, principalement sur des appareils iOS.
L’opération a été nommée « Vastflux » en référence à son utilisation de la spécification Video Ad Serving Template, ainsi qu’à la technique fast-flux pour modifier des masses d’adresses IP et d’enregistrements DNS afin de masquer le code malveillant dans les fausses applications.
L’équipe de cybersécurité HUMAN a découvert Vastflux lors d’une enquête sur un autre réseau de fraude publicitaire, constatant qu’il générait plus de 12 milliards de demandes d’enchères publicitaires par jour et affectait plus de 11 millions d’appareils, dont la plupart étaient iOS.
Vidéos cachées
Les chercheurs ont été informés de la campagne lorsqu’ils sont tombés sur une application qui utilisait plusieurs identifiants d’application pour générer un nombre malsain de demandes.
Après une ingénierie inverse du code JavaScript obscurci, ils ont trouvé le serveur principal avec lequel l’application était en communication et qui envoyait à l’application les commandes générant des publicités.
De là, les chercheurs ont découvert l’ensemble du réseau, qui impliquait près de 2 000 fausses applications. Comme ils l’ont expliqué, la publicité malveillante dans ces mauvaises applications avait « empilé tout un tas de lecteurs vidéo les uns sur les autres, payés pour toutes les publicités alors qu’aucune d’entre elles n’était visible pour la personne utilisant l’appareil ».
Lorsqu’il remportait les enchères qu’il avait faites pour afficher des bannières publicitaires, Vastflux y injectait le code JavaScript caché. Cela permettrait au serveur C2 d’obtenir les données nécessaires pour créer la fausse annonce. Jusqu’à 25 vidéos seraient exécutées simultanément, mais resteraient invisibles pour l’utilisateur car elles seraient affichées derrière la fenêtre active.
Le système n’utilisait pas non plus les balises de vérification des annonces, nécessaires pour afficher les mesures de performances, afin d’éviter la détection par les trackers de performances des annonces.
HUMAN, avec l’aide de clients et de marques usurpées, a lancé une série d’attaques ciblées sur Vastflux entre juin et juillet 2022. Les serveurs C2 se sont ensuite déconnectés après un certain temps alors que leurs opérations se terminaient, jusqu’à ce que toutes les enchères publicitaires atteignent zéro en Décembre 2022.
Bien que la campagne ne semble pas avoir eu d’impact majeur sur la sécurité des appareils infectés, elle a causé des problèmes de performances, une décharge de la batterie et une surchauffe dans certains cas.
Ce sont des signes typiques d’une infection, alors faites attention si votre avis arrive comme ça sur votre appareil. Bien que vous ne puissiez pas surveiller l’utilisation du matériel lié aux performances, tel que le processeur et la RAM sur un iPhone, il existe des applications tierces qui le peuvent. En outre, vous pouvez afficher l’utilisation de la batterie sur iOS dans les paramètres de l’appareil, ce qui peut donner une indication de la présence d’applications suspectes.