Vastflux è una delle più grandi frodi pubblicitarie mai identificate, con 1.700 applicazioni falsificate, 120 editori presi di mira e 12 miliardi di richieste di annunci fasulli ogni giorno.
Ogni volta che apriamo una pagina su un sito web o un’app su smartphone, una raffica di operazioni impercettibili avviene a tua insaputa. Molte agenzie pubblicitarie si contendono la vostra attenzione dietro le quinte, perché vogliono far passare i loro spot davanti ai vostri occhi.
Le pubblicità che si vedono sono spesso scelte attraverso una serie di rapide aste per ogni annuncio. Con 418 miliardi di dollari spesi nel 2017, la pubblicità automatizzata, talvolta definita pubblicità programmatica, è un settore importante. Tuttavia, esiste anche un potenziale di abuso.
Questo materiale può essere visto solo sul sito web da cui proviene, per rispettare le impostazioni sulla privacy.
Un devastante attacco all’ecosistema pubblicitario su Internet
Oggi, alcuni ricercatori di sicurezza hanno rivelato un nuovo e pervasivo attacco all’ecosistema pubblicitario su Internet che ha colpito milioni di utenti, ingannato centinaia di aziende e potrebbe persino aver fruttato ai suoi sviluppatori un notevole guadagno. I ricercatori di Human Security, una società specializzata in frodi e attività bot, hanno scoperto la minaccia, nota come Vastflux.
11 milioni di telefoni sono stati colpiti dall’hack, che ha comportato lo spoofing di 1.700 app e l’individuazione di 120 pubblicazioni. Gli aggressori hanno inviato 12 miliardi di richieste di pubblicità al giorno, al loro apice.
Secondo Marion Habiby, data scientist presso Human Security e ricercatore principale del caso, “ho dovuto eseguire le statistiche numerose volte quando ho ricevuto inizialmente i risultati dell’entità dell’attacco”. Secondo Habiby, l’attacco è stato uno dei più grandi e sofisticati mai subiti dall’organizzazione. È evidente che i malintenzionati erano ben organizzati e hanno fatto molta attenzione a non essere scoperti per assicurarsi che l’attacco durasse il più a lungo possibile e guadagnasse il più possibile, secondo Habiby.
Pubblicità su smartphone
La pubblicità su Internet e sui dispositivi mobili è un settore complicato e talvolta nebuloso. Ciononostante, fa guadagnare un sacco di soldi a chi se ne occupa. Ogni giorno, miliardi di annunci pubblicitari vengono inseriti nei siti web e nelle applicazioni. Gli inserzionisti o le reti pubblicitarie pagano per far visualizzare i loro annunci e guadagnano quando gli utenti fanno clic su di essi o interagiscono in altro modo.
Nell’estate del 2022, mentre indagava su un altro problema, il ricercatore di Human Security Vikas Parthasarathy ha scoperto per la prima volta Vastflux. Secondo Habiby, l’esecuzione della truffa richiedeva una serie di fasi e gli autori utilizzavano una serie di difese per evitare di essere scoperti.
In primo luogo, gli aggressori prendevano di mira applicazioni ben note e cercavano di acquistare uno spazio pubblicitario al loro interno. Human Security non ha reso nota la loro identità a causa del proseguimento delle indagini. “In pratica stavano attraversando uno spot pubblicitario”, sostiene Habiby. “Non stavano cercando di dirottare un telefono completo o un’intera applicazione”.
Lo schema truffaldino di Vastflux
Molto semplicemente, gli aggressori sono stati in grado di dirottare il sistema pubblicitario in modo tale che ogni volta che un telefono visualizzava un annuncio all’interno di un’app infetta, ci sarebbero stati fino a 25 annunci sovrapposti. L’utente vedrebbe un solo annuncio sul telefono e gli aggressori verrebbero pagati per ciascuno di essi. Tuttavia, mentre elaborava tutte le pubblicità false, la batteria del telefono si scaricava più rapidamente del solito. Oltre ad un aumento di temperatura del dispositivo.
È estremamente intelligente, dice Habiby, perché l’attacco termina nel momento in cui l’annuncio scompare, rendendo difficile l’individuazione dell’utente.
La portata di emerse 12 miliardi di richieste di annunci al giorno. Sebbene siano colpiti anche i telefoni Android, secondo Human Security i dispositivi iOS sono stati i principali bersagli dell’assalto. Nel complesso, si ritiene che 11 milioni di dispositivi siano stati coinvolti nella truffa. Poiché sono state colpite app e sistemi pubblicitari legali, i proprietari dei dispositivi non avrebbero potuto fare nulla per prevenire l’attacco.
Secondo il portavoce di Google Michael Aciman, la quantità di Vastflux “esposta” sulle reti dell’azienda era minima, grazie alle forti restrizioni contro il “traffico non valido”. “Il nostro staff ha adottato una rapida azione di controllo dopo aver valutato attentamente il contenuto del rapporto”, aggiunge Aciman. La richiesta di risposta di WIRED non ha ricevuto risposta da Apple.