इस हमले ने कथित तौर पर 11 मिलियन (1.1 करोड़) फोन को प्रभावित किया है, जिसमें हमलावरों ने 1,700 ऐप को कॉपी किया और 120 पब्लिशर को निशाना बनाया है। स्कैमर्स प्रति दिन विज्ञापनों के लिए 12 अरब अनुरोध कर रहे थे।
रिपोर्ट आगे बताती है कि फर्म के एक डेटा साइंटिस्ट और इस स्कैम का पता लगाने वाले प्रमुख रिसर्चर मैरियन हबीबी का कहना है कि यह रिसर्च फर्म द्वारा देखा गया सबसे परिष्कृत और सबसे बड़ा हमला है।
फर्म के रिसर्चर विकास पार्थसारथी ने 2022 की गर्मियों में Vastflux का पहली बार पता लगाया था, जब वह एक अलग खतरे की जांच कर रहे थे। हबीबी का कहना है कि धोखाधड़ी को संचालित करने में कई कदम शामिल हैं, और इसके पीछे हमलावरों ने पकड़े जाने से बचने के लिए कई तरह के उपाय किए।
सबसे पहले, हमले के पीछे का ग्रुप लोकप्रिय ऐप्स को लक्षित करता है और उनके भीतर एक विज्ञापन स्लॉट खरीदने का प्रयास करता है। हबीबी कहते हैं कि “ये ग्रुप एक पूरे फोन, या एक पूरे ऐप को हाईजैक करने की कोशिश नहीं कर रहे थे, वे सचमुच एक विज्ञापन स्लॉट को खरीद रहे थे।”
एक बार जब Vastflux ने एक विज्ञापन के लिए नीलामी जीत ली, तो ग्रुप उस विज्ञापन में कुछ गलत जावास्क्रिप्ट कोड डाल देते हैं, ताकि चुपके से कई वीडियो एड को खास तरीके से एक दूसरे के ऊपर रखा जा सके। यदि आप इस तरह नहीं समझ पा रहे हैं, तो हम आपको आसान शब्दों में समझाते हैं। दरअसल, यहां एक तरह से हमलावर एड सिस्टम को ही हाईजैक कर रहे थे। ये ग्रुप एड वीडियो को इस तरह से कोड करते थे कि जब किसी फोन में कोई प्रभावित ऐप विज्ञापन दिखा रहा होता था, तो वास्तव में वो एक नहीं, बल्कि 25 विज्ञापन तक दिखा रहा होता था। यहां मोबाइल यूजर तो एक ही वीडियो देखता था, लेकिन हमलावरों को प्रत्येक विज्ञापन के लिए पैसा मिलता था।
Human Security का कहना है कि हमले ने मुख्य रूप से iOS डिवाइस को प्रभावित किया, हालांकि Android फोन भी प्रभावित हुए। कुल मिलाकर, इस तरह की धोखाधड़ी में 11 मिलियन डिवाइस शामिल होने का अनुमान है।