Специалисты White Ops обнаружили масштабную мошенническую операцию: на протяжении нескольких месяцев хакерская группа имитировала активность умных телевизоров, чтобы обмануть рекламодателей и получить прибыль от рекламы.
Исследователи назвали эту операцию и стоящую за ней группировку ICEBUCKET. По их мнению, это наиболее масштабный случай подмены SSAI (Server-Side Ad Insertion) на сегодняшний день.
Интернет-рекламодатели используют серверы SSAI в качестве посредников между своими рекламными платформами и конечными пользователями. По сути, серверы SSAI отправляют рекламу приложениям, работающим на устройствах людей. Такими устройствами могут быть компьютеры, смартфоны, планшеты, умные телевизоры, стриминговые девайсы и так далее. Серверы SSAI являются весьма популярным решением, так как они не тормозят код приложения и позволяют рекламодателям в режиме реального времени контролировать объявления, отображаемые на пользовательских устройствах.

Однако группировка ICEBUCKET обнаружила недостатки в механизме коммуникации SSAI-серверов. В итоге в течение последних месяцев мошенники использовали уязвимость для подключения к серверам SSAI и запрашивали объявления для показа на несуществующих устройствах.
В силу того, что цена за тысячу показов объявлений на умных телевизорах и других телевизионных connected-девайсах выше, чем в других случаях, группировка сосредоточила усилия на имитации именно этих типов устройств. Так, ICEBUCKET в первую очередь имитирует устройства CTV (Connected TV), такие как стриминговые девайсы Roku, умные телевизоры Samsung Tizen, ныне несуществующий GoogleTV и потоковые устройства на базе Android.
В общей сложности мошенники подделывали более 1000 различных типов устройств (user-agents), используя для этого свыше 2 000 000 IP-адресов, расположенных в более чем 30 странах мира. По словам исследователей, большая часть такого трафика приходилась на фейковые умные телевизоры, расположенные в США.
На пике своей активности в январе 2020 года группировка ICEBUCKET ежедневно генерировала около 1,9 миллиарда рекламных запросов на серверы SSAI. Операция была настолько масштабной, что в январе текущего года почти 2/3 рекламного трафика CTV SSAI приходилось на несуществующие устройства, созданные мошенниками.
Эксперты пишут, что ICEBUCKET использовала более 300 идентификаторов приложений для запроса рекламного трафика от имени несуществующих устройств. Такие ID — это приложения и финансовые механизмы, с помощью которых группа получала доходы от рекламы. К сожалению, специалисты White Ops еще продолжают свое расследование и пока не могут определить, оперировала ли группа всеми 300 ID приложений самостоятельно, или же хакеры использовали только малую их часть, а остальной фальшивый рекламный трафик направляли в другие приложения, чтобы замести следы.
Также существует возможность, что ICEBUCKET работает по схеме Fraud-as-a-Service («Мошенничество-как-услуга»), то есть позволяет разработчикам приложений заказывать поддельные рекламные объявления для своих приложений и зарабатывает на этом.
«На данный момент мы не можем прийти к окончательному заключению в отношении двух этих возможностей. Существует вероятность того, что оба эти варианта используются [хакерами] в зависимости от конкретной разновидности рассматриваемого трафика», — пишут аналитики White Ops.
Специалисты предупреждают, что в будущем количество кампаний, подобных ICEBUCKET, будет расти. Дело в том, что механизм SSAI широко используется в отрасли, а учитывая высокие ставки CPM, выплачиваемые за показ рекламы пользователям умных телевизоров, скорее всего, у группировки скоро появятся подражатели.
0d8bc7
18.04.2020 в 13:50
Родитель, таскающий своего ребёнка с собой на пьянки, разборки, в стрип-клубы (если бы это было возможно) и т.д. — кормящий разум последнего чем придётся — ни разу не умный (при прочих равных условиях). И точно так же девайс, кормящий свого пользователя всем, что дал ему сервер, включая рекламу, за исключением случаев, когда пользователь сам явно запросил тот или иной контент, ни разу не умный. 🙂
0d8bc7
18.04.2020 в 18:24
(На всякий случай: это была просто аналогия :-))
Lex.Mikachev
19.04.2020 в 08:30
Имитация показа рекламы на несуществующих в реале устройствах… — А что, так можно было?
Владиславище
19.04.2020 в 09:13
Парни подняли немножко бабла… В общем векторов атаки — всё больше и больше.
Shwarz
20.04.2020 в 11:28
А что стало с GoogleTV? А я то хотел разработчиком стать!)