Специалисты White Ops обнаружили масштабную мошенническую операцию: на протяжении нескольких месяцев хакерская группа имитировала активность умных телевизоров, чтобы обмануть рекламодателей и получить прибыль от рекламы.

Исследователи назвали эту операцию и стоящую за ней группировку ICEBUCKET. По их мнению, это наиболее масштабный случай подмены SSAI (Server-Side Ad Insertion) на сегодняшний день.

Интернет-рекламодатели используют серверы SSAI в качестве посредников между своими рекламными платформами и конечными пользователями. По сути, серверы SSAI отправляют рекламу приложениям, работающим на устройствах людей. Такими устройствами могут быть компьютеры, смартфоны, планшеты, умные телевизоры, стриминговые девайсы и так далее. Серверы SSAI являются весьма популярным решением, так как они не тормозят код приложения и позволяют рекламодателям в режиме реального времени контролировать объявления, отображаемые на пользовательских устройствах.

Схема атаки

Однако группировка ICEBUCKET обнаружила недостатки в механизме коммуникации SSAI-серверов. В итоге в течение последних месяцев мошенники использовали уязвимость для подключения к серверам SSAI и запрашивали объявления для показа на несуществующих устройствах.

В силу того, что цена за тысячу показов объявлений на умных телевизорах и других телевизионных connected-девайсах выше, чем в других случаях, группировка сосредоточила усилия на имитации именно этих типов устройств. Так, ICEBUCKET в первую очередь имитирует устройства CTV (Connected TV), такие как стриминговые девайсы Roku, умные телевизоры Samsung Tizen, ныне несуществующий GoogleTV и потоковые устройства на базе Android.

В общей сложности мошенники подделывали более 1000 различных типов устройств (user-agents), используя для этого свыше 2 000 000 IP-адресов, расположенных в более чем 30 странах мира. По словам исследователей, большая часть такого трафика приходилась на фейковые умные телевизоры, расположенные в США.

На пике своей активности в январе 2020 года группировка ICEBUCKET ежедневно генерировала около 1,9 миллиарда рекламных запросов на серверы SSAI. Операция была настолько масштабной, что в январе текущего года почти 2/3 рекламного трафика CTV SSAI приходилось на несуществующие устройства, созданные мошенниками.

Эксперты пишут, что ICEBUCKET использовала более 300 идентификаторов приложений для запроса рекламного трафика от имени несуществующих устройств. Такие ID — это приложения и финансовые механизмы, с помощью которых группа получала доходы от рекламы. К сожалению, специалисты White Ops еще продолжают свое расследование и пока не могут определить, оперировала ли группа всеми 300 ID приложений самостоятельно, или же хакеры использовали только малую их часть, а остальной фальшивый рекламный трафик направляли в другие приложения, чтобы замести следы.

Также существует возможность, что ICEBUCKET работает по схеме Fraud-as-a-Service («Мошенничество-как-услуга»), то есть позволяет разработчикам приложений заказывать поддельные рекламные объявления для своих приложений и зарабатывает на этом.

«На данный момент мы не можем прийти к окончательному заключению в отношении двух этих возможностей. Существует вероятность того, что оба эти варианта используются [хакерами] в зависимости от конкретной разновидности рассматриваемого трафика», — пишут аналитики  White Ops.

Специалисты предупреждают, что в будущем количество кампаний, подобных ICEBUCKET, будет расти. Дело в том, что механизм SSAI широко используется в отрасли, а учитывая высокие ставки CPM, выплачиваемые за показ рекламы пользователям умных телевизоров, скорее всего, у группировки скоро появятся подражатели.

5 комментариев

  1. Аватар

    0d8bc7

    18.04.2020 at 13:50

    Родитель, таскающий своего ребёнка с собой на пьянки, разборки, в стрип-клубы (если бы это было возможно) и т.д. — кормящий разум последнего чем придётся — ни разу не умный (при прочих равных условиях). И точно так же девайс, кормящий свого пользователя всем, что дал ему сервер, включая рекламу, за исключением случаев, когда пользователь сам явно запросил тот или иной контент, ни разу не умный. 🙂

  2. Аватар

    Lex.Mikachev

    19.04.2020 at 08:30

    Имитация показа рекламы на несуществующих в реале устройствах… — А что, так можно было?

    • Аватар

      Владиславище

      19.04.2020 at 09:13

      Парни подняли немножко бабла… В общем векторов атаки — всё больше и больше.

  3. Аватар

    Shwarz

    20.04.2020 at 11:28

    А что стало с GoogleTV? А я то хотел разработчиком стать!)

Оставить мнение