1700 aplicaciones y 11 millones de dispositivos afectados por un malware-estafa

Vastflux es el nombre que los investigadores especializados en ciberseguridad han otorgado a esta estafa

1700 aplicaciones y 11 millones de dispositivos afectados por un malware-estafa
El malware es una de las grandes amenazas alas que se enfrentan los usuarios de smartphoes en la actualidad

La publicidad que ves cada vez que abres una página web o una aplicación en tu móvil lleva años siendo una de las vías de financiación de grandes y pequeños negocios de todo el mundo. Y, aunque bien empleada, resulta una manera completamente lícita de obtener beneficio a cambio de mostrar al usuario anuncios sobre productos o servicios relevantes, en algunas ocasiones puede convertirse en una fuente de propagación de fraudes y estafas.

Así lo han podido descubrir por sí mismos los expertos en ciberseguridad de Human Security, encargados de sacar a la luz una gran campaña de fraude (de las mayores descubiertas hasta la fecha) que utiliza la publicidad digital presente en sitios web y apps para llevar a cabo su cometido de "secuestrar" los anuncios legítimos para inyectar los suyos propios.

La estafa se habría propagado a lo largo de 1700 aplicaciones para móvil diferentes, llegando así a afectar a cerca de once millones de dispositivos repartidos por todo el mundo.

Así actúa Vastflux, el malware que ha afectado a once millones de dispositivos

En el informe publicado por Human Security se explica cómo el ataque al mercado de la publicidad digital, denominado "Vastflux" ha logrado tener un impacto negativo sobre cientos de empresas, causándoles pérdidas de ingresos importantes y afectando a millones de personas, al realizar más de doce mil millones de peticiones de publicidad al día.

Cuentan cómo, tras haber descubierto patrones de tráfico sospechosos provenientes de una aplicación popular, su investigación sirvió para descubrir un sofisticado ataque elaborado por un equipo bien organizado, y con la capacidad de implantar técnicas de evasión capaces de hacer sus operaciones casi indetectables mientras obtenían grandes beneficios.

¿De dónde viene el nombre VASTFLUX?

El nombre VASTFLUX se obtiene de combinar el concepto de "Flujo Rápido" o "Fast Flux", una técnica de evasión utilizada por los ciberdelincuentes; y VAST, la plantilla de publicación de anuncios de video digital de la que se ha abusado en esta operación.

El ataque consistía (simplificando mucho) en secuestrar la plataforma de publicidad, de modo que las aplicaciones infectadas mostrasen los anuncios inyectados por VASTFLUX en lugar de los legítimos. Según los investigadores, se logró colocar hasta veinticinco anuncios diferentes situados uno encima de otro, y aunque el usuario únicamente viese uno de ellos, los atacantes obtenían beneficios por todos ellos.

De cara al usuario, esta amenaza podía tener un impacto negativo en cuanto a un mayor consumo energético de su smartphone o un consumo de datos desmedido al tener que cargar una gran cantidad de anuncios al visitar la página web o aplicación afectada por VASTFLUX.

VASTFLUX era un plan muy sofisticado que se aprovechaba de los entornos restringidos de las aplicaciones en las que se publican anuncios, especialmente en iOS. En el transcurso de la operación se suplantaron más de 1.700 aplicaciones y 120 editores, alcanzando un volumen máximo de 12.000 millones de solicitudes de anuncios al día y afectando a casi 11 millones de dispositivos.

A la vez que se llevaba a cabo el ataque, se llevaban a cabo técnicas de evasión desarrolladas basándose en un conocimiento muy cercano del ecosistema de la publicidad digital, lo cual lleva a los investigadores a creer que quien se encuentra detrás de VASTFLUX es un equipo muy bien informado sobre las técnicas utilizadas en este campo.

Mediante diferentes técnicas de defensa y ataque, los expertos en ciberseguridad de HUMAN fueron capaces de mitigar los ataques hasta el punto de cortar de manera drástica el tráfico de VASTFLUX (hasta un 92%), a pesar de que los atacantes trabajaban por adaptarse a las técnicas de los investigadores.

A día de hoy, el ataque ha sido básicamente eliminado y, de más de doce mil millones de peticiones de publicidad al día, en la actualidad se producen cero.

Aunque no se ha compartido una lista con las aplicaciones afectadas por el ataque, sí se han revelado los nombres de dominio de los servidores de control utilizados por este malware. Están disponibles a continuación:

  • analytichd.com
  • bidderev.com
  • bidderopt.com
  • datahubserv.com
  • giniechoserved.com
  • hubspp.com
  • servehb.com
  • servepp.com
  • servermlrn.com
  • servinglabs.com
  • servioum.com
  • servomous.com
  • servoror.com
  • servrly.com
  • servrpp.com
  • trackingkey3.com
  • trackservexo.com
  • tredenel.com
  • trktrk222.com
  • intensebidmarket.com
  • merthub.com
  • servrly.com

De cara a los usuarios, se recomienda permanecer atentos ante comportamientos extraños de sus dispositivos, como un consumo de batería demasiado elevado, aplicaciones que se cierran de manera aleatoria y sin previo aviso, caídas en el rendimiento del dispositivo, aumento en el uso de datos o que la pantalla del teléfono se encienda de manera aleatoria y sin razón aparente.

Para ti
Queremos saber tu opinión. ¡Comenta!