Хакеры удивляют: вредоносный код «озолотил» своих создателей

Масштабная мошенническая кампания, получившая название «Vastflux», недавно была полностью остановлена исследователями безопасности из подразделения Satori, компании HUMAN. В рамках кампании киберпреступники подделали более 1700 приложений от 120 издателей, в основном для iOS.

Данному способу мошенничества дали название «Vastflux» из-за используемого шаблона показа видеорекламы «VAST» и метода уклонения «fast flux», необходимого для сокрытия вредоносного кода путем быстрого изменения большого количества IP-адресов и записей DNS, связанных с одним доменом.

Согласно отчету HUMAN, Vastflux генерировал более 12 миллиардов запросов в день на пике своего распространения и затронул около 11 миллионов устройств, многие из которых находятся в экосистеме Apple iOS.

Подробнее о Vastflux

Исследовательская группа Satori обнаружила Vastflux при расследовании новой схемы мошенничества с рекламой. Они заметили, что приложение генерирует необычно большое количество запросов, используя разные идентификаторы.

Исследователи выполнили реверс-инжиниринг запутанного кода (см. термин «обфускация») JavaScript, который работал в приложении, и обнаружили IP-адрес сервера управления и контроля (C2), с которым оно взаимодействовало, а также отправляемые им команды для создания рекламы.

В HUMAN заявили, что в результате мошеннической кампании злоумышленники внедряли вредоносный JavaScript-код в рекламные объявления, а затем «наслаивали» видеопроигрыватели с рекламой друг на друга. Да таким образом, что ни один из них не был виден пользователю — все они отображались за активным окном. Однако с каждого запущенного видео изобретательным кибербандитам шла монетизация. «Наслоить» таким образом у них получалось до 25 видеопроигрывателей одновременно. Можно сказать наверняка, что заработать хакеры на этом предприятии успели прилично.

Рендеринг нескольких невидимых видеообъявлений

Остановка деятельности Vastflux

HUMAN составила подробную карту инфраструктуры Vastflux и запустила три волны целевых действий в период с июня по июль 2022 года. В конце концов, Vastflux на некоторое время отключил свои серверы C2 и сократил свои операции, а 6 декабря рекламные операции остановились полностью.

Хронология остановки деятельности Vastflux

Хотя мошенничество с рекламой не оказывает злонамеренного воздействия на пользователей приложений, оно вызывает снижение производительности устройств, увеличивает расход заряда батареи и интернет-трафика, а также может привести к перегреву устройства.

Вышеперечисленные симптомы являются распространенными признаками заражения вредоносным ПО или мошенничества с рекламой на устройстве. При обнаружении чего-то подобного на своём смартфоне, стоит попытаться определить приложение, которое потребляет большую часть ресурсов, и навсегда избавиться от него.

Видеореклама потребляет гораздо больше энергии, чем статическая реклама, а несколько скрытых видеоплееров — тем более. Поэтому очень важно всегда следить за запущенными процессами и вовремя выявлять признаки вредоносных программ.