Новый и почти неуловимый ботнет под названием Pareto заражает устройства на Android и выдает созданную им армию зомби за умные телевизоры. Обнаружили его специалисты компании Human Security, которая специализируется на кибербезопасности.
Порядка одного миллиона мобильных устройств на Android имитируют пользователей умных телевизоров и приставок под управлением Fire OS, tvOS, Roku OS и других smart TV-платформ и «просматривают» рекламные ролики. Десятки зараженных мобильных приложений выдают себя за 6000 приложений экосистемы CTV. Эксперты Human Security объясняют это тем, что рынок рекламы на умных телевизорах и приставках привлекателен для мошенников из-за ее высокой стоимости.
Ущерб оценивается в 650 млн псевдопросмотров рекламного контента в день.
Ботнет был замечен еще в 2020 году, и всё это время эксперты изучали поведение этого вредоноса. Он был назван в честь принципа Парето, так как суть его работы очень схожа с правилом 80/20 (для многих событий примерно 80% следствий происходит от 20% причин).
«Продукты CTV — это мощная платформа для стриминговых сервисов и брендов, которая позволяет взаимодействовать с покупателями посредством встроенного контента и рекламы», — говорит исполнительный директор и сооснователь компании HUMAN Тамер Хассан, «Именно поэтому всей экосистеме CTV и брендам необходимо работать сообща и приложить все усилия, чтобы противостоять этому рекламному мошенничеству вплоть до его искоренения».
Ботнет Pareto, как можно догадаться, воспользовался реалиями пандемии COVID-19, когда возрос спрос на услуги онлайн TV-платформ, и, таким образом, попытался раствориться в общем количестве новых пользователей. По словам экспертов компании HUMAN, ботнет был практически неуловим. Тем не менее, с каждым новым циклом подмены, когда Pareto пытался замаскировать поддельный трафик, специалисты обнаруживали эту атаку и обновляли алгоритмы защиты TV-платформ от фрода.
В итоге спустя год после начала борьбы с атаками этого ботнета специалисты HUMAN практически полностью пресекли его деятельность. Но всё же продолжают появляться аффилированные с ним вредоносные приложения, хотя уже и в меньших количествах. Например, во время прошлого всплеска атак количество зараженных приложений для Android составляло 29 штук, во время второго — всего одно на платформе Roku. Все эти приложения были удалены с маркетплейсов и TV-платформ.