Logo del sitio

Vastflux: la estafa publicitaria que ha falsificado más de 1.700 apps para infectar 11 millones de teléfonos

Los atacantes lograban superponer hasta 25 anuncios haciendo creer a las empresas que se mostraban a los usuarios.
Los atacantes lograban superponer hasta 25 anuncios haciendo creer a las empresas que se mostraban a los usuarios.
Adrianna Calvo de Pexels

La publicidad que aparece en los sitios webs a los que los usuarios acceden genera al año miles de millones de euros anuales. Según unos investigadores de Human Security, hay un ataque al que han apodado 'Vastflux' que afecta a la publicidad automática que aparece en varias páginas online y ha perjudicado a millones de personas y a cientos de empresas.

Se estima que Vastflux ha afectado a 11 millones de teléfonos a raíz de la falsificación de 1.700 aplicaciones que dirigían a 120 editores. Los expertos en ciberseguridad afirman que los estafadores llegaron a realizar 12.000 millones de solicitudes de anuncios por día en su momento de mayor apogeo.

Marion Habiby, científica de datos de Human Security e investigadora principal del ataque, cree que los delincuentes informáticos "se esforzaron mucho para evitar ser detectados, asegurándose de que el ataque durara el mayor tiempo y ganara la mayor cantidad de dinero posible".

El negocio de la publicidad en línea mueve mucho dinero, por lo que no es raro que algunos piratas informáticos busquen sacar rédito con ellas. En concreto, el caso de Vastflux fue detectado por primera vez en el verano de 2022 por Vikas Parthasarathy, también de Human Security, que se encontraba analizando una amenaza diferente.

A raíz del hallazgo del año pasado, un equipo de Human Security comenzó a investigar el ataque. El estudio todavía sigue en curso, pero todo apunta a que hay apps populares en las que se puede comprar espacio publicitario y que los estafadores han aprovechado esto para introducir un código JavaScript malicioso en anuncios en formato vídeo.

Según cuentan en Human Security, los atacantes lograban superponer con el código fraudulento hasta 25 anuncios, uno encima de otro. De este modo, recibían dinero de las empresas anunciantes por colocar sus vídeos en las apps, pero los usuarios solo veían un anuncio.

A pesar de que en los teléfonos solo se veía un vídeo, el teléfono detectaba todos los anuncios, por lo que esto se percibía en la batería, que se agotaba más rápido de lo normal.

Los investigadores han comprobado que Vastflux ha tenido más presencia en dispositivos iOS, aunque también ha estado presente en Android. Michael Aciman, portavoz de Google, ha detallado para WIRED que su equipo "evaluó minuciosamente los hallazgos del informe [de Human Security] y tomó medidas de cumplimiento inmediatas". De este modo, el caso en el sistema operativo parece que se ha solventado más rápidamente.

Human Security no ha proporcionado más información sobre quién cree que está detrás del ataque publicitario ni cuánto dinero han podido ganar. De hecho, las investigaciones todavía siguen adelante en un intento de evaluar los daños que ha podido provocar.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento