Vlastníte chytrý telefon? Možná jste se stali obětí geniálního reklamního podvodu
Záludný reklamní podvod pronikl do 11 milionů telefonů. Napadeno bylo zhruba 1700 aplikací, 120 vydavatelů a vygenerováno až 12 miliard falešných reklamních požadavků denně – Vastflux je jedním z největších a nejgeniálnějších reklamních podvodů, které kdy byly odhaleny.
Pokaždé, když otevřete aplikaci nebo webovou stránku, proběhne bez vašeho vědomí spousta neviditelných procesů. V zákulisí se o vaši pozornost ucházejí desítky reklamních společností. Chtějí, aby se jejich reklamy dostaly před vaše oči. O tom, které reklamy se vám zobrazí, často rozhoduje série okamžitých aukcí. Tato automatizovaná reklama, často označovaná jako programatická reklama, je velký byznys – loni se na ni vynaložilo 418 miliard dolarů (přes 9 bilionů korun). Tato reklama se však dá i zneužít, uvádí server Wired.
Bezpečnostní výzkumníci v polovině ledna odhalili nový rozsáhlý útok na ekosystém online reklamy, který ovlivnil miliony lidí, podvedl stovky společností a potenciálně přinesl jeho tvůrcům značné zisky. Útok nazvaný Vastflux objevili výzkumníci společnosti Human Security, která se zaměřuje na podvody a aktivity botů. Útok zasáhl 11 milionů telefonů, přičemž útočníci podvrhli 1 700 aplikací a zaměřili se na 120 vydavatelů. V době největšího rozmachu útočníci zadávali 12 miliard požadavků na reklamu denně.
„Když jsem poprvé dostal výsledky o objemu útoku, musel jsem čísla projít několikrát,“ říká Marion Habiby, datový vědec ve společnosti Human Security a hlavní výzkumník tohoto případu. Habiby popisuje útok jako jeden z nejsofistikovanějších a zároveň nejrozsáhlejších, které společnost zaznamenala. „Je zřejmé, že špatní aktéři byli dobře organizovaní a vynaložili velké úsilí, aby se vyhnuli odhalení. Zajistili, aby útok trval co nejdéle – aby vydělali co nejvíce peněz,“ říká Habiby.
Online a mobilní reklama je složitý, často nepřehledný byznys. Zúčastněným však přináší hromady peněz. Každý den jsou na webové stránky a do aplikací umístěny miliardy reklam – inzerenti nebo reklamní sítě platí za zobrazení svých reklam a vydělávají peníze, když na ně lidé klikají nebo je vidí – a většina z toho se děje při otevření webové stránky nebo aplikace.
Vastflux poprvé objevil výzkumník společnosti Human Security Vikas Parthasarathy v létě 2022, když zkoumal jinou hrozbu. Podle Habibyho zahrnovalo provozování podvodu několik kroků a útočníci, kteří za ním stáli, přijali řadu opatření, aby nebyli odhaleni.
Geniální podvod
Nejprve se skupina stojící za útokem – kterou Human Security kvůli probíhajícímu vyšetřování nejmenoval – zaměřovala na populární aplikace a snažila se v nich koupit reklamní slot. „Nesnažili se unést celý telefon nebo celou aplikaci, šli doslova přes jeden reklamní slot,“ říká Habiby.
Jakmile skupina Vastflux vyhrála aukci na reklamu, vložila do ní škodlivý kód JavaScriptu, který skrytě umožnil poskládat několik videoreklam na sebe.
Zjednodušeně řečeno, útočníci dokázali unést reklamní systém tak, že když se v telefonu zobrazovala reklama v rámci postižené aplikace, bylo ve skutečnosti až 25 reklam umístěných nad sebou. Útočníci dostávali za každou reklamu zaplaceno a v telefonu se zobrazovala pouze jedna reklama. Baterie telefonu se však vybíjela rychleji než obvykle, protože by zpracovávala všechny podvodné reklamy.
„Je to docela geniální, protože v okamžiku, kdy reklama zmizí, váš útok ustane, což znamená, že vás nebude snadné najít,“ vysvětluje Habiby.
Rozsah této akce byl kolosální: V červnu 2022, kdy skupina dosáhla vrcholu své aktivity, provedla 12 miliard reklamních požadavků denně. Podle společnosti Human Security útok zasáhl především zařízení se systémem iOS, ačkoli zasaženy byly i telefony se systémem Android. Celkově se odhaduje, že se podvod týkal 11 milionů zařízení. Majitelé zařízení mohli s útokem jen málo co udělat, protože byly zasaženy legitimní aplikace a reklamní procesy.
Mluvčí společnosti Google Michael Aciman uvedl, že společnost má přísné zásady proti „neplatnému provozu“ a v jejích sítích došlo k omezenému „vystavení“ Vastfluxu. „Náš tým důkladně vyhodnotil zjištění zprávy a přijal okamžitá donucovací opatření,“ říká Aciman.
Zdroj: Wired