Selon Wired, 11 millions de téléphones ont été attaqués par un système de fraude publicitaire appelé Vastflux qui a usurpé 1 700 applications et ciblé 120 éditeurs. Au plus fort de l’escroquerie, les attaquants faisaient des demandes pour 12 milliards d’annonces par jour. Marion Habiby, spécialiste des données chez Human Security, la société qui a découvert l’attaque, l’a qualifiée de l’une des plus importantes et des plus organisées que son entreprise ait jamais vues.
Vastflux permettrait aux fraudeurs de diffuser simultanément 25 publicités sur un téléphone
« Quand j’ai obtenu les résultats du volume de l’attaque pour la première fois, j’ai dû exécuter les chiffres plusieurs fois », a déclaré Habiby, « il est clair que les mauvais acteurs étaient bien organisés et se sont donné beaucoup de mal pour éviter d’être détectés, en s’assurant que l’attaque fonctionnerait aussi longtemps que possible – gagnerait autant d’argent que possible. La fraude a été détectée pour la première fois l’année dernière et le groupe à l’origine des attaques, que Human Security ne nommera pas encore en raison d’enquêtes en cours, a commencé le processus en achetant un seul espace publicitaire à partir d’applications populaires.
Après avoir culminé à 12 milliards de demandes d’annonces par jour, l’escroquerie s’est lentement éteinte
Comme le note Habiby, « Ils n’essayaient pas de détourner un téléphone entier ou une application entière, ils passaient littéralement par un seul espace publicitaire. » Mais une fois qu’il a remporté l’enchère pour le site publicitaire, les attaquants ont placé du code JavaScript malveillant dans l’annonce, ce qui a entraîné l’empilement de plusieurs publicités vidéo. Ainsi, pendant que votre téléphone affichait une seule publicité, les escrocs étaient payés pour diffuser jusqu’à 25 publicités. Et l’un des rares signes que vous pourriez voir vous indiquant que quelque chose n’allait pas était la batterie qui se déchargeait rapidement sur votre téléphone (plus de détails ci-dessous).
Une fois que l’annonce a cessé de jouer, l’attaque a pris fin, rendant presque impossible la découverte de la fraude. Habiby dit que les appareils iOS ont été les plus touchés, mais certains combinés Android ont également été utilisés dans cette arnaque. Et parce que l’attaque s’est produite sur des applications légitimes utilisant une plate-forme publicitaire légitime, les propriétaires de téléphones ne pouvaient vraiment rien faire pour l’empêcher de se produire. Après tout, les combinés des consommateurs n’étaient que le vecteur de l’escroquerie et les consommateurs eux-mêmes n’ont subi aucun coup financier.
Zach Edwards de Human Security, responsable principal des informations sur les menaces au sein de l’entreprise, souligne que les sociétés de publicité et les applications qui diffusent des publicités sont les parties lésées. L’attaque usurperait (copierait) les détails des publicités de 1 700 applications pour donner l’impression que les publicités étaient diffusées sur plusieurs applications. Après tout, demander que 25 publicités soient diffusées simultanément sur un téléphone aurait soulevé des questions. Les annonces ont également été modifiées pour limiter les balises afin que l’arnaque ne puisse pas être découverte.
Le porte-parole de Google, Michael Aciman, a déclaré à Wired : « Notre équipe a soigneusement évalué les conclusions du rapport et a pris des mesures d’exécution rapides. » Il a également déclaré que Google avait des politiques strictes contre le « trafic invalide ». Il a également souligné que l’exposition à Vastflux sur les réseaux de Google était limitée.
Le groupe à l’origine de la fraude a fermé boutique en décembre
Un effort concerté pour arrêter Vastflux l’été dernier a entraîné une forte baisse des demandes d’annonces à moins d’un milliard par jour. Sécurité humaine a déclaré dans un article de blog, « Nous avons identifié les mauvais acteurs derrière l’opération et travaillé en étroite collaboration avec les organisations abusées pour atténuer la fraude. »
La bonne nouvelle est que le groupe impliqué dans l’escroquerie publicitaire a débranché ses serveurs le mois dernier et qu’aucune activité de Vastflux n’a été repérée depuis. Les propriétaires de téléphones individuels auront du mal à déterminer si leur téléphone est utilisé pour une telle arnaque publicitaire, car une batterie qui se décharge rapidement pourrait être le symptôme d’un bogue légitime.
D’autres signaux d’alarme, tels que des sauts inexpliqués dans l’utilisation des données, le fait que l’écran du téléphone s’allume à des moments aléatoires, le fait de voir les performances d’une application ralentir soudainement ou de repérer une application qui plante fréquemment, pourraient être de meilleurs signes vous avertissant que votre téléphone fait partie d’une arnaque publicitaire.
Le dernier mot sur Vastflux vient de Matthew Katz, responsable de la qualité du marché à la société de technologie publicitaire FreeWheel, une société appartenant à Comcast. La société a été impliquée dans l’enquête, ce qui donne à Katz une vision unique de toute l’arnaque. « Vastflux était un schéma particulièrement compliqué », a-t-il déclaré.
