Forscherinnen und Forscher haben einen „expansiven“ Werbebetrug beendet, bei dem mehr als 1.700 Anwendungen von 120 Publishern gefälscht wurden und etwa 11 Millionen Geräte betroffen waren.
„VASTFLUX war eine Malvertising-Attacke, bei der bösartiger JavaScript-Code in digitale Werbemittel eingeschleust wurde, der es den Betrügern ermöglichte, zahlreiche unsichtbare Video-Adplayer hintereinander zu schalten und Anzeigenaufrufe zu registrieren“, so das Betrugspräventionsunternehmen HUMAN.
Der Name der Operation leitet sich von der DNS-Umgehungstechnik Fast Flux und VAST ab, einem Digital Video Ad Serving Template, das für die Auslieferung von Werbung an Videoplayer verwendet wird.
Die ausgeklügelte Operation nutzte vor allem die eingeschränkten In-App-Umgebungen, in denen Werbung auf iOS läuft, um Gebote für die Anzeige von Werbebannern abzugeben. Wird die Auktion gewonnen, wird der gekaperte Anzeigenplatz genutzt, um ein bösartiges JavaScript einzuschleusen, das Kontakt mit einem entfernten Server aufnimmt, um die Liste der anvisierten Apps abzurufen.
Dazu gehören auch die Bundle-IDs legitimer Apps, um einen sogenannten App-Spoofing-Angriff durchzuführen, bei dem sich eine betrügerische App als hoch angesehene App ausgibt, um Werbetreibende dazu zu bringen, für den Werbeplatz zu bieten.
Das ultimative Ziel war laut HUMAN die Registrierung von bis zu 25 Videoanzeigen, die für die Nutzer/innen völlig unsichtbar übereinander geschichtet wurden, um illegale Einnahmen zu erzielen.
„Es bleibt aber nicht bei den übereinander geschichteten Anzeigen“, so das Unternehmen. „So viele Anzeigen, wie auf dem Gerät eines Nutzers gleichzeitig angezeigt werden, werden so lange nachgeladen, bis der Werbeplatz mit dem bösartigen Code geschlossen wird.
„Die Akteure, die hinter dem VASTFLUX-Schema stecken, kennen sich mit dem digitalen Werbe-Ökosystem bestens aus“, heißt es weiter, und dass die Kampagne auch eine endlose „Wiedergabeliste“ von Anzeigen abspielt, um sowohl die werbenden Unternehmen als auch die Apps, die Anzeigen anzeigen, zu betrügen.
Die Zerschlagung von VASTFLUX erfolgt drei Monate nach der Zerschlagung von Scylla, einer Betrugsaktion, die auf Software Development Kits (SDKs) für Werbung in 80 Android-Apps und 9 iOS-Apps abzielte, die in den offiziellen Stores veröffentlicht wurden.
VASTFLUX, das zu seinen Spitzenzeiten über 12 Milliarden Gebotsanfragen pro Tag generierte, ist nach 3ve, PARETO und Methbot nur das jüngste in einer Reihe von Anzeigenbetrugs-Botnetzen, die in den letzten Jahren abgeschaltet wurden.