Разработчики, тестировщики и игроки могут автоматизировать выполнение рутинных задач с помощью специальных программ — автокликеров. Например, чтобы автоматически стрелять из лука в играх, быстро проверять элементы интерфейса при тестировании или собирать данные для бизнеса.
Однако кликеры могут использоваться не только в полезных целях. Злоумышленники применяют их для автоматической накрутки фальшивых кликов по рекламе, просмотров видеообъявлений, заполнения форм, покупки товаров и выполнения других конверсионных действий.
В этой статье мы рассмотрим, что это такое, какие виды программ для автоскликивания бывают и насколько они опасны для рекламы.
Что это такое
Автокликер — это программа, которая автоматически совершает клики и другие действия в соответствии с заданным алгоритмом. Они могут быть как полезными, так и вредоносными.
Что они умеют делать:
- записывать и воспроизводить манипуляции мышью и клавиатурой;
- выполнять действия в соответствии с заданными координатами и пикселями на изображении;
- работать с буфером обмена и вставлять в него заданный текст;
- сохранять содержимое буфера обмена в отдельный файл;
- использовать горячие клавиши для выполнения действий;
- заполнять формы;
- создавать скрипты для воспроизведения сложных последовательностей действий.
Автоматические кликеры работают в фоновом режиме и не мешают работе основных программ. Они способны выполнять тысячи и сотни тысяч кликов в секунду.
Например, эту программу игроки используют для автоматизации действий в игре Skyrim:
Этот используют тестировщики:
Этот злоумышленники используют для скликивания мобильной рекламы в фоновом режиме. На скриншоте показана часть кода с dispatchTouchEvent API для генерации кликов:
Автокликеры работают следующим образом: пользователь включает запись и выполняет на экране нужные действия в заданном порядке. Программа запоминает координаты кликов и интервалы между ними, а затем имитирует их.
При этом, если интерфейс изменяется, клики и действия всё равно будут выполняться в соответствии с ранее заданными координатами. Однако сейчас появились усовершенствованные кликеры, которые работают на базе ИИ и умеют подстраиваться под изменения интерфейса.
Виды автокликеров, используемых для фрода
Кликеры бывают аппаратные, программные, веб- и мобильные, каждый из которых способен переходить на сайты, кликать по объявлениям или картинкам, распознавать поля форм и заполнять их, вводить текст и т. д. Чтобы имитировать реальный трафик, они способны эмулировать браузеры и использовать искусственный интеллект.
С их помощью мошенники могут скликивать рекламу, запоминать нажатия клавиш пользователя и красть пароли, заражать устройства для выполнения других вредоносных действий в сети.
Аппаратные решения
Портативные устройства, которые подключаются к компьютеру через USB и оснащены физическими кнопками или переключателями для автоматического выполнения кликов. Считаются универсальными инструментами как для фрода, так и для выполнения полезных действий.
Автокликер для ПК
Это программное обеспечение, которое устанавливается на компьютер. Они позволяют записывать сценарии для автоматизации последовательности действий: клики, просмотры, запись клавиш и т. д.
Этот вид автокликеров обладает расширенным функционалом, таким как запись макросов или сценариев, для автоматизации сложных последовательностей действий. Их отличительная черта — способность интегрироваться с другими средствами автоматизации или ПО сторонних разработчиков посредством API.
Например, здесь можно настроить количество и интервал кликов в часах, минутах, секундах и даже миллисекундах, выбрать позицию курсора по осям XY, добавить горячие клавиши и т. д.
Расширения в браузере
Такие кликеры устанавливаются в браузере в виде расширений и используются для автоматизации действий на сайтах или в веб-приложениях. Мошенники могут планировать график выполнения кликов, указывать разные интервалы между ними и выбирать целевые области на странице с помощью CSS-селекторов или XPaths.
Браузерные кликеры работают со всеми типами ввода: чек-бокс, выбор цвета и даты, ввод адреса электронной почты, номера и пароля, выбор диапазона, выполнение поиска и т. д. Кроме того, они могут вводить заданный текст в текстовые поля.
На скриншоте выше приведен лишь пример расширения с описанными возможностями. Неизвестно, используется ли он в мошеннических целях.
Макросы
Макросы — это комплексные сценарии определенной последовательности действий, которые автоматически воспроизводятся кликером. Нередко используются для мошенничества в мобильных играх и отличаются более реалистичным поведением, то есть не генерируют тысячи кликов в секунду, а дополнительно имитируют действия реального пользователя, меняют интервалы и т. д.
Например, переход на определенный сайт, взаимодействие с контентом, просмотр описания товара или характеристик, а затем нажатие на кнопку «Купить».
Некоторые программы для создания макросов могут содержать вредоносный код, который заражает файлы на устройстве, повреждает систему, загружает и устанавливает программное обеспечение.
Вредоносное ПО в мобильных приложениях
Злоумышленники создают мобильные приложения и умышленно встраивают в них вредоносных код. Затем размещают их на маркетплейсах, в том числе самых популярных, и выдают их за безобидные игры, файловые менеджеры, плееры и другие полезные инструменты. Пользователи скачивают такие приложения, не подозревая, что внутри них находится вредоносная начинка.
После установки вирус активируется и начинает в фоновом режиме выполнять заданный алгоритм действий, например, открывать страницы в браузере для просмотра и скликивания рекламы. Также они могут заполучить доступ к мессенджерам и ключевым сервисам на устройстве пользователя, чтобы отслеживать получение кодов, воровать платежную информацию и другие персональные данные.
Вот пример вредоносных мобильных приложений, обнаруженных в Google Play, принадлежащих к семейству автокликеров и предназначенных для скликивания рекламы:
На базе ИИ
Развитие нейросетевых моделей и других технологий искусственного интеллекта изменило подход мошенников к созданию и оптимизации своих атак. Автокликеры на базе ИИ умеют не только имитировать клики и нажатия клавиш, но еще и могут самостоятельно распознавать определенные элементы интерфейса, цвет и текст для выполнения более точных действий. Для распознавания контента используется оптическая технология OCR.
Самое главное — это возможность самообучения при помощи искусственного интеллекта, чтобы определять изменения интерфейса и автоматически подстраивать настройки скриптов.
Примеры, когда автокликеры атаковали рекламу
Вот самые известные случаи, когда для мошенничества с рекламой злоумышленники использовали кликеры.
AdNauseam
- Год создания: 2015
- Тип: расширение для браузера
- Назначение: блокировка рекламы, скликивание
Блокировщики стали популярны среди пользователей как эффективное решение против назойливой рекламы и всплывающих окон на сайтах. Однако AdNauseam отличается от всех остальных. Помимо блокировки это расширение в фоновом режиме скликивает каждое объявление на страницах сайта для изменения цифрового отпечатка пользователя с целью «сохранения конфиденциальности» и введения рекламодателей и платформ в заблуждение.
Помимо оплаты нецелевых кликов, рекламодатели получают еще и испорченную статистику. Все собранные о пользователе данные просто становятся бесполезными и непригодными для использования, например, для ретаргетинга. Что еще интереснее, клики, по сути, исходят с устройства реального пользователя, который здесь и сейчас просматривает сайт, поэтому обнаружить такой фрод намного труднее.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
В 2017 году Google удалила расширение из своего магазина за нарушение правил использования сервиса. Однако им до сих пор пользуются более 200 тыс. человек.
Цифровое сообщество неоднозначно относится к этому расширению. С одной стороны, автокликер скликивает в случайном порядке любую рекламу на странице, что приводит к перерасходу бюджета рекламодателей. С другой стороны, Google собирает и перепродает в рекламных целях большое количество информации о пользователях. Именно поэтому AdNauseam считается одним из инструментов хактивизма в борьбе за конфиденциальность.
GhostClicker
- Год обнаружения: 2016
- Тип: вредоносное рекламное ПО для Android
- Назначение: скликивание рекламы на мобильных устройствах
В 2017 году в 340 приложениях магазина Google Play был обнаружен вредонос под кодовым названием GhostClicker. Он скрывался в мобильных сервисах Google (GMS), интерфейсах прикладных программ (API) и пакете для разработки программного обеспечения Facebook* Ad (SDK).
Среди зараженных приложений были развлекательные игры, утилиты для повышения производительности устройства, файловые менеджеры, сканеры QR- и штрих-кодов, мультимедийные рекордеры и плееры, приложения, связанные с GPS/навигацией. Игра «Мир приключений Аладдина» с вредоносной начинкой лидирует по количеству установок — более 5 млн раз.
В отличие от других рекламных вредоносов, GhostClicker не использует код JavaScript для поиска, извлечения и скликивания рекламных объявлений. Вместо этого он узнает через Google AdMob информацию о том, в каком месте на экране смартфона располагается объявление, уточняет размеры экрана устройства пользователя (ширину и высоту), рассчитывает предполагаемые координаты по осям XY, а затем применяет событие dispatchTouchEvent API для имитации клика по рекламе.
Чтобы заработать еще больше, злоумышленники с помощью GhostClicker генерируют фальшивый трафик с просмотрами видео. Например, он может в фоновом режиме автоматически открывать YouTube в мобильном браузере и просматривать видео.
* Принадлежит компании Meta, которая признана экстремистской и запрещена на территории РФ.
Trojan.Clicker
- Тип: вредоносное ПО
- Назначение: скликивание рекламы, генерация трафика, заражение вирусами
Trojan.Clicker, также известный как Ad Clicker Trojan, — опасный трудноудаляемый вредонос семейства троянов, который содержит в себе драйвер-руткит для маскировки и защиты от удаления. Работает в фоновом режиме и самостоятельно подключается к сайтам.
С его помощью кибермошенники увеличивают свои вознаграждения от накрутки кликов на монетизируемых сайтах. Вот пример подключения трояна к удаленному ресурсу:
Magala
- Год обнаружения: 2017
- Тип: вредоносное ПО, ботнет
- Назначение: скликивание рекламы
Magala — программное обеспечение, которое используется для накрутки кликов по рекламным баннерам. Заражение пользовательских устройств и создание армии ботнета происходит через вредоносные сайты.
Как только Magala попадает на устройство пользователя, она обнаруживает браузер, причем только определенной версии, и начинает выполнять заданный скрипт: запускает скрытый виртуальный рабочий стол и устанавливает туда вредоносное рекламное ПО.
Далее оператор через сервер отправляет вредоносу список необходимых поисковых запросов, по которым нужно будет накручивать клики на поиске. После этого программа начинает последовательно вводить указанные запросы в поиск и кликать по первым 10 ссылкам в каждой выдаче с интервалом в 10 секунд.
Пример списка ключевых запросов:
В данном случае скликивание шло по сайтам и рекламе в тематике телефония для бизнеса и автоюристы в Техасе.
HiddenAds
- Год обнаружения: 2020
- Тип: вредоносное ПО на Android
- Назначение: накрутка просмотров рекламы
В 2020 году в магазине Google Play было обнаружено 47 приложений, зараженных вредоносной программой. Количество загрузок — более 15 млн. Как только вредонос попадает на устройство и жертва запускает приложение, ей тут же начинает бесконечно показываться на экране навязчивая реклама.
Чтобы защититься от обнаружения и удаления, вредоносные приложения заменяли свои ярлыки на экране в списке и выдавали себя за служебные инструменты.
Кроме того, 7 из 47 найденных приложений могли дополнительно открывать браузер на устройстве пользователя и отображать другие рекламные объявления. Даже когда пользователь удалял зараженное приложение, реклама все равно продолжала отображаться.
Clicker
- Год обнаружения: 2022
- Тип: вредоносное ПО на Android, ботнет
- Назначение: скликивание рекламы
В 2022 году в магазине Google Play были обнаружены 16 мобильных приложений, зараженных вредоносным ПО Clicker. Количество скачиваний на момент обнаружения и блокировки — более 20 млн раз.
Вредоносная программа Clicker маскировалась под безобидные утилиты, такие как камеры, конвертеры валют и единиц измерения, считыватели QR-кодов, приложения для создания заметок и словари. После установки и запуска кликер в фоновом режиме посещал целевые сайты и скликивал рекламные объявления.
Goldoson
- Год обнаружения: 2023
- Тип: вредоносное рекламное ПО
- Назначение: скликивание рекламы
Название Goldoson этому автокликеру дали по имени первого обнаруженного мошеннического домена. Это вредоносное ПО собирает список установленных приложений и историю подключений Wi-Fi и Bluetooth на устройстве пользователя, чтобы скрытно скликивать рекламу.
Goldoson регистрирует устройство и получает от удаленного командного сервера настройки одновременно с запуском приложения. Имя библиотеки и домен удаленного сервера меняются в зависимости от приложения.
Цель — загрузка рекламы и скликивание с целью увеличения вознаграждений от монетизации. Технически, библиотека загружает HTML-код и вводит его в настроенный WebView, что создает скрытый трафик за счет рекурсивного посещения URL-адресов.
Как защитить контекстную рекламу от скликивания
Мошенники используют кликеры для манипуляции статистикой и получения неправомерной выгоды. Это негативно сказывается на эффективности рекламных кампаний, увеличивает расход бюджета, снижает охват целевой аудитории и уменьшает конверсию.
Как происходит скликивание рекламных кампаний. Злоумышленники распространяют зараженные вредоносным кликером мобильные приложения через Google Play и сторонние сайты, а затем монетизируют их через РСЯ, КМС и другие рекламные платформы. Пользователи могут установить, например, игру на телефон и не знать, что их устройство тайно скликивает рекламу.
Также клики могут исходить с монетизируемых мошенниками сайтов, которые вредоносная программа автоматически открывает в фоновом режиме на устройстве пользователя и просматривает или скликивает ее.
Что с обнаружением. Рекламные платформы способны обнаруживать простые паттерны скликивания. Но в случае автокликеров используется реальное пользовательское устройство. Тогда фрод становится труднее определить — для этого нужны специализированные алгоритмы и накопленные базы с разными мошенническими паттернами.
Как защитить рекламу от скликивания. Проводите глубокий анализ трафика, не размещайте рекламу через малоизвестные площадки и подключайте систему антифрода.
Если вы размещаете свои объявления на сайтах и в мобильных приложениях РСЯ или КМС, системы верификации помогут определять качество трафика на этих площадках и будут показывать, какие из них генерируют недействительные клики.
Пример. Вот кейс нашего клиента, который столкнулся с большим количеством мусорного трафика из РСЯ и скликиванием рекламы, в том числе с недействительными кликами из мобильных приложений. На скрине ниже видно, что приложение Layer Man 3D: Run & Collect на >80% состоит из бот-трафика.
Пользователи также не радужно отзываются о нем, в первую очередь жалуясь на рекламу:
С помощью сервиса Botfaqtor и инструмента Защита Яндекс Директ клиент обнаружил эту и другие некачественные площадки и добавил их в стоп-лист через настройки рекламной кампании. Также сервис сразу заблокировал показ рекламы для 90+ млн ботов и скликивателей, которые находятся в базе, и блокировал показ рекламы для новых фродовых профилей.
Подключите защиту к своим рекламным кампаниям, блокируйте недействительный трафик, экономьте рекламный бюджет и увеличивайте охват целевой аудитории. Первые 7 дней бесплатно.
FAQ
► Что такое автокликер?
Это программа, скрипт, макрос или расширение, которое используется для автоматизации действий по заранее настроенному алгоритму: клики, нажатия клавиш, переходы по страницам, заполнение форм, переход на сайт и т. д. Применяются разработчиками, игроками, тестировщиками.
► Как быстро работают автокликеры?
Скорость работы автокликеров зависит от функционала программы, пользовательского устройства и настроек. Например, автокликер Speed Auto Clicker может выполнять до 500 000 кликов в секунду.
► Можно ли использовать автокликеры?
Их можно использовать для автоматизации действий при разработке, тестировании и проведении аудитов.
В рекламе использование автокликеров считается обманной технологией. За использование специальных программ для накрутки кликов, просмотров или конверсий рекламная площадка может быть заблокирована.
В играх аккаунт, который был уличен в использовании автокликера, могут заблокировать, так как такая автоматизация может идти вразрез с правилами игровой платформы.
Сайты, которые защищены от DDoS-атак, также могут блокировать доступ программам к своему контенту.
► Как обнаружить автокликер на устройстве?
Как правило, автокликеры защищены от обнаружения и удаления. Проверить наличие программы на устройстве можно вручную или с помощью антивирусов и специальных сервисов.
Проверьте установленные программы и приложения. Возможно, вы найдете те, которые не устанавливали сами:
- На ПК: перейдите в «Программы и компоненты» (Windows) или «Программы» (MacOS) и проверьте список установленных программ.
- На смартфоне: перейдите в «Приложения» и просмотрите список установленных приложений, обратите внимание на ярлыки на рабочем столе.
Запустите сканирование и проверьте разрешения:
- ПК: если вы используете антивирус, запустите полное сканирование системы. Многие антивирусные системы могут обнаруживать и удалять автокликеры и другие вредоносные программы.
- Смартфон: проверьте, какие разрешения запрашивают установленные приложения. Автокликеры могут запрашивать доступ к функциям, которые им не нужны.
Проверьте активность программ и приложений:
- ПК: Откройте Диспетчер задач (Windows) или Мониторинг активности (macOS) и проверьте запущенные процессы. Ищите незнакомые или подозрительные программы, которые запущены на компьютере.
- Смартфон: Если вы обнаружили неизвестное приложение,
Проверьте автозагрузку:
- Откройте «Диспетчер задач» и перейдите на вкладку «Автозагрузка» (Windows) или «Системные настройки» → «Пользователи и группы» → «Элементы входа» (macOS) и проверьте, какие программы запускаются при старте системы.
Обратите внимание на необычное поведение устройства:
Если вы заметили, что на устройстве автоматически открываются вкладки браузера, курсор двигается сам и др., это может быть признаком наличия автокликера.
► Как удалить автокликер с устройства/ПК?
Чтобы удалить автокликер с ПК или телефона, необходимо использовать дополнительные инструменты, которые показывают установленные программы и могут удалять те, которые не удаляются стандартными методами. Например, Uninstall Tool для ПК.
► Безопасны ли автокликеры?
Если автокликер разработан специально для автоматизации действий при разработке или тестировании и распространяется через официальные сайты, то, как правило, они безопасны. Однако автокликеры могут поставляться с вредоносной начинкой или сами быть частью зараженного мобильного приложения.
Мы рекомендуем использовать на своем устройстве надежный антивирус и проверять файлы через специальные программы, например VirusTotal.
