Ботнет Pareto

Исследователи в области кибербезопасности во время пандемии в 2020 году раскрыли действие масштабного ботнета, который на тот момент успел заразить порядка миллиона устройств, работающих на ОС Android. Эксперты выяснили, что вместо ожидаемого от бот-сети проведения DDoS-атак, вредонос Pareto был предназначен для выполнения операций в области мошенничества с рекламой на CTV-устройствах.

НазваниеPareto
СтатусДеактивирован (предположительно)
ОписаниеВредонос, используемый генерации фальшивых просмотров рекламы в CTV-секторе. Заражает устройства через мобильные приложения на Android.

Описание

Для своих операций ботнет Pareto задействовал десятки скомпрометированных мобильных приложений для Android, которые выдавали себя за 6000 CTV-сервисов. С их помощью мошенники генерировали по 650 млн фальшивых просмотров рекламы в день.

Выбор цели в данном случае не был случайным, поскольку цены на рекламу в секторе CTV значительно выше, чем в аналогичных продуктах на мобильных устройствах или в интернете. Вредоносные приложения выдавали себя за стриминговые сервисы, работающие на нескольких наиболее известных CTV-платформах, таких как Roku Os, Fire OS, tvOS и других.

C&C- и C2-сервер ботнета Pareto также были вовлечены в другую идентичную мошенническую кампанию, нацеленную на стриминговый сервис Roku. 36 приложений в магазине каналов Roku получали инструкции от C2-сервера. Они действовали аналогично приложениям Android Pareto, то есть также выдавали себя за Smart TV и потребительские потоковые продукты.

Принцип работы

Команда компании Satori обнаружила набор устройств на Android, которые выдавали себя за CTV-устройства, используя обычные пользовательские агенты, связанные с реальными потребительскими потоковыми сервисами. При более тщательном анализе команда отдела обратной инженерии компании HUMAN обнаружила приложение, которое в результате и вывело их на масштабную операцию по мошенничеству с рекламой с помощью проприетарного SDK.

Всего командой Satori было обнаружено 29 приложений для Android, которые использовались ботнетом. Вредонос заставлял устройства переходить по ссылкам, которые были заданы оператором в файле TopTopSDK. Данный набор предназначался преимущественно для выполнения фальшивых просмотров рекламы на CTV-устройствах.

Ботнет Pareto и его действия контролировались С2-сервером JSON Server, который проверяет наличие новых команд каждые 30 секунд. URL-адрес отличался от приложения к приложению, однако корневой каталог C2 был един для всех. 

Приложения в магазине каналов Roku, всего 36 штук, подключались к тому же самому C2-серверу и получали инструкции, после которых генерировали фальшивые просмотры рекламы на стриминговых устройствах разных пользователей. 

Удаление вредоносных приложений

CTV-сектор позволяет потоковым сервисам предоставлять зрителям привлекательный контент, а рекламодателям размещать целевую рекламу для своей аудитории. Именно поэтому важно, чтобы в рамках данной экосистемы CTV-продукты и компании работали сообща и совместно защищали контент от любого мошенничества, распознавали его и блокировали и удаляли в кратчайшие сроки.

Ботнет Pareto, создатели которого зарабатывали на CTV-рекламе, был обнаружен спустя год после начала атак и заблокирован благодаря согласованной работе сервисов блокировки, рекламных площадок, медиаагентств и операторов цифровых платформ. В поимке этого ботнета участвовали специалисты компаний Omnicom Media Group, Trade Desk, Magnite, Google и Roku, совместно с агентством цифровой безопасности Human.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий