iOS デバイスを汚染するアドウェア Vastflux:ピーク時で 120億/日のリクエスト

Massive ad-fraud op dismantled after hitting millions of iOS devices

2023/01/21 BleepingComputer — iOS を主体として展開された、Vastflux という名の大規模な広告詐欺作戦は、 120社のパブリッシャーから提供される 1,700件以上のアプリを偽装していたが、サイバー・セキュリティ企業 HUMAN の研究者たちにより阻止されたことが明らかになった。このオペレーション名は、広告配信テンプレート VAST と、単一のドメインに関連する大量の IP アドレスや DNS レコードを迅速に変更することで、悪意のあるコードを隠す回避手法 fast flux に由来しているという。HUMAN のレポートによると、ピーク時の Vastflux では 120億以上/日の入札リクエストが生成され、約 1100万台のデバイス (大半が iOS エコシステム) に影響を与えたとされている。

Vastfluxの詳細

HUMAN (Satori) の調査チームが、別の広告詐欺スキームを調査している際に、この Vastflux が発見されたという。彼らは、あるアプリが、異なるアプリ ID を使用して異常に多くのリクエストを生成していることに気づいた。

そのアプリで動作していた難読化された、JavaScript をリバース・エンジニアリングすることで、通信していた C2 (Command and Control) サーバの IP アドレスと、それが送信する広告生成コマンドを突き止めた。

HUMAN は、「このチームがつなぎ合わせたのは、悪質業者が発行した広告クリエイティブに JavaScript を注入し、動画プレイヤーを大量に重ねて、端末を使用している人には参照されないかたちで、すべての広告の料金を得るという、広範な不正な広告活動だった」と述べている。

Vastflux は、アプリ内広告のバナー表示の入札を発生させた。それを落札すると、静的なバナー画像が配置され、そこに難読化した JavaScript が注入された。一連の注入された JavaScript は C2 サーバと通信し、表示する広告の位置/サイズ/種類などの指示や、実際のアプリやパブリッシャー ID を詐称するためのデータなどを含む、暗号化された設定ペイロードを受け取っていた。

Vastflux は、最大で 25 の動画広告を重ね、すべて広告表示収入を得るが、アクティブ・ウィンドウの背後にレンダリングされるため、ユーザーからは一切見えないものとなる。

Rendering multiple invisible video ads
Rendering multiple invisible video ads (HUMAN)

Vastflux は検出を回避するために、マーケティング担当者がパフォーマンス指標を生成するための、広告検証タグの使用を省略していた。これを避けることで、サードパーティが提供する大半の広告パフォーマンス・トラッカーから、このスキームを隠すことが可能になった。

Vastfluxのテイクダウン

Vasstflux のインフラをマッピングした後に、HUMAN は 2022年6月〜7月において、顧客/パートナー/なりすましブランドを巻き込んだ3つのターゲット・アクションを開始し、それぞれの不正行為に打撃を与えていった。最終的に Vastflux は、C2 サーバをオフラインにして運営を縮小し、2022年12月6日には広告入札がゼロになった。

Timeline of Vastflux's takedown
Timeline of Vastflux’s takedown (HUMAN)


広告詐欺というものは、アプリ利用者に悪意の影響を与えるものではない、端末のパフォーマンス低下を引き起こし、バッテリーやインターネットデータの使用量を増加させ、端末のオーバーヒートにつながることもある。

このような兆候は、デバイスにおけるアドウェア感染または広告詐欺を示唆するものであり、それらを疑いながら扱い、リソース消費の大部分を占めるアプリを、特定する必要がある。

動画広告は静的な広告と比べて多くの電力を消費し、複数の隠し動画プレイヤーをパフォーマンス・モニタから隠すことは容易ではないため、実行中のプロセスに常に目を配り、トラブルの兆候を探すことが極めて重要になる。

ずいぶんとハデに立ち回った広告詐欺であり、発見されシャットダウンされるまでの間に、たんまりと稼いだのでしょう。難読化のための TPP も凝っているようです。インターネット広告により商品経済が加速され、そこからの資金が回り回って、インフラ構築にまで至っている現状を認める必要がありますが、こうした犯罪によるリスクが生じますね。以下は、最近のアドウェア関連の記事です。

2022/09/26:モバイルを狙うアドウェア:1,300万回インストール
2022/09/19:アドウェアからランサムローダーへ:ChromeLoader
2022/08/16:Web ブラウザ・エクステンション 700万に潜むアドウェア

%d bloggers like this: