En bref: Des chercheurs de la société de sécurité Human Security ont récemment révélé l’une des attaques de publicité mobile les plus importantes et les plus sophistiquées qu’ils aient vues à ce jour. Surnommée Vastflux, la campagne bien orchestrée a eu un impact sur des millions de téléphones et a fraudé des centaines de sociétés de publicité et de fabricants d’applications – et a probablement fait gagner de l’argent à ses opérateurs.

Vastflux a été détecté pour la première fois par Human Security l’année dernière alors qu’il travaillait sur une menace distincte. Cela a fonctionné en ciblant un seul emplacement publicitaire plutôt que le téléphone entier d’un utilisateur ou une application entière. Une fois que le groupe avait remporté un espace publicitaire via une enchère d’annonceurs, il insérait un code malveillant lui permettant d’empiler plusieurs publicités vidéo les unes sur les autres.

L’utilisateur final ne verrait qu’une seule publicité vidéo, mais dans les coulisses, l’attaquant leur fournissait en fait jusqu’à 25 publicités vidéo empilées les unes sur les autres. Ils seraient payés pour chaque publicité comme si elles étaient affichées individuellement, et le groupe usurpait les détails de centaines d’applications pour donner l’impression que plusieurs applications étaient impliquées dans la campagne. De plus, l’attaque n’a permis que certaines balises d’être attachées pour aider à rester sous le radar. Plusieurs domaines ont également été utilisés pour lancer des attaques.

Du point de vue de l’utilisateur final, le seul indice que quelque chose n’allait pas était une décharge plus rapide de la batterie, car votre téléphone traitait toutes les publicités frauduleuses en arrière-plan.

2023 01 19 image 5

Human Security n’a pas encore nommé le groupe à l’origine de l’attaque et n’a pas non plus précisé combien il a potentiellement gagné grâce à ce stratagème, mais il s’agit probablement d’une somme considérable. À son apogée en juin 2022, l’attaque faisait 12 milliards de demandes d’annonces par jour. Vastflux ciblait principalement les appareils iOS, mais certains combinés Android ont également été touchés. Au total, on estime qu’environ 11 millions d’appareils ont été touchés.

L’été dernier, la firme de sécurité et ses partenaires sont passés à l’offensive avec une série de mesures d’atténuation. En décembre, le groupe à l’origine de la campagne a mis ses serveurs hors ligne et est resté silencieux depuis.

Crédit image : Tima Miroshnichenko