“C’est assez génial car à la minute où l’annonce disparaît, votre attaque s’arrête, ce qui signifie que vous n’allez pas être trouvé facilement”, explique Habiby.
L’ampleur de celle-ci était colossale : en juin 2022, au plus fort de l’activité du groupe, il effectuait 12 milliards de demandes d’annonces par jour. Human Security affirme que l’attaque a principalement touché les appareils iOS, bien que les téléphones Android aient également été touchés. Au total, on estime que la fraude a impliqué 11 millions d’appareils. Les propriétaires d’appareils n’auraient pas pu faire grand-chose à propos de l’attaque, car les applications légitimes et les processus publicitaires ont été touchés.
Le porte-parole de Google, Michael Aciman, a déclaré que la société avait des politiques strictes contre le “trafic invalide” et que l'”exposition” de Vastflux sur ses réseaux était limitée. « Notre équipe a soigneusement évalué les conclusions du rapport et a pris des mesures d’exécution rapides », déclare Aciman. Apple n’a pas répondu à la demande de commentaire de WIRED.
La fraude publicitaire mobile peut prendre de nombreuses formes différentes. Cela peut aller, comme avec Vastflux, des types d’empilement d’annonces et de fermes téléphoniques aux fermes de clics et à l’usurpation de SDK. Pour les propriétaires de téléphones, les piles qui se déchargent rapidement, les sauts importants dans l’utilisation des données ou les écrans qui s’allument à des moments aléatoires peuvent être des signes qu’un appareil est touché par la fraude publicitaire. En novembre 2018, la plus grande enquête du FBI sur la fraude publicitaire a accusé huit hommes d’avoir dirigé deux stratagèmes notoires de fraude publicitaire. (La sécurité humaine et d’autres sociétés technologiques ont été impliquées dans l’enquête.) Et en 2020, Uber a remporté un procès pour fraude publicitaire après qu’une entreprise qu’elle a embauchée pour inciter plus de personnes à installer son application l’a fait par «inondation de clics».
Dans le cas de Vastflux, le plus grand impact de l’attaque a sans doute été sur les personnes impliquées dans l’industrie publicitaire tentaculaire elle-même. La fraude a touché à la fois les agences de publicité et les applications qui diffusent des publicités. “Ils essayaient de frauder tous ces différents groupes tout au long de la chaîne d’approvisionnement, avec différentes tactiques contre des groupes très différents”, explique Zach Edwards, responsable principal des informations sur les menaces chez Human Security.
Pour éviter d’être détecté (jusqu’à 25 demandes d’annonces simultanées provenant d’un téléphone sembleraient suspectes), le groupe a utilisé plusieurs tactiques. Ils ont usurpé les détails publicitaires de 1 700 applications, donnant l’impression que de nombreuses applications différentes étaient impliquées dans la diffusion des publicités, alors qu’une seule était utilisée. Vastflux a également modifié ses publicités pour n’autoriser que certaines balises à être attachées aux publicités, ce qui l’aide à éviter la détection.
Matthew Katz, responsable de la qualité du marché chez FreeWheel, une société de technologie publicitaire appartenant à Comcast qui a été en partie impliquée dans l’enquête, affirme que les attaquants dans l’espace deviennent de plus en plus sophistiqués. “Vastflux était un schéma particulièrement compliqué”, explique Katz.
L’attaque a impliqué une infrastructure et une planification importantes, selon les chercheurs. Edwards dit que Vastflux a utilisé plusieurs domaines pour lancer son attaque. Le nom Vastflux est basé sur le « flux rapide » – un type d’attaque utilisé par les pirates qui consiste à lier plusieurs adresses IP à un nom de domaine – et VAST, un modèle de publicité vidéo, développé par un groupe de travail au sein de l’Interactive Advertising Bureau (IAB), qui a été abusé lors de l’attaque. (Shailley Singh, vice-président exécutif, produit et directeur de l’exploitation chez IAB Tech Lab, déclare que l’utilisation de la version VAST 4 de son modèle peut aider à prévenir les attaques comme Vastflux, et d’autres mesures techniques des éditeurs et des réseaux publicitaires contribueraient à réduire son efficacité.) “Ce n’est pas le genre de stratagème très simple que nous voyons tout le temps”, déclare Habiby.
