Всё о вредоносном ПО для скликивания

В среде маркетологов и рекламодателей, которые размещают рекламу с оплатой за клик или показы, растут опасения по поводу кликфрода. Мошенничество с кликами с каждым годом становится всё более насущной проблемой. В этой статье мы поговорим о том, как выглядит вредоносное программное обеспечение для скликивания, как оно заражает устройства ничего не подозревающих пользователей, об ущербе и способах борьбы с этим явлением.

Что такое кликфрод

Напомним, что кликфрод — это систематическое и преднамеренное скликивание или просмотр человеком или программой рекламных объявлений с целью расходования бюджета рекламодателя в пользу площадки-донора, где эта реклама размещается. А вредонос — это такая хитрая программа, которая самостоятельно форсирует свою установку на ПК пользователя с целью либо дальнейшего распространения по другим незащищенным устройствам, либо удаленного управления для совершения мошеннических или других незаконных операций.

Так что же такое вредоносное ПО для скликивания? Это программа, которая устанавливается на компьютер и используется ботоводом (мастером, создателем этой программы) для выполнения кликфрод-атак.

Что такое трояны

Вы знаете, что такое троянский вирус? Наверняка, слышали термин «троянский конь». Он взят из древнегреческого эпоса «Илиада» Гомера, где описывается такая военная хитрость: чтобы пробраться в осажденную Трою, ахейцы построили огромного деревянного коня, спрятали в нем солдат и преподнесли этот «подарок» троянцам как приношение богине Афине.

Ничего не подозревающие правители ввезли коня за стены города, так как  решили, что ахейцы сдались и прекратили осаду. Этой же ночью ахейские лазутчики выбрались из коня, открыли ворота Трои и впустили армию. Троя пала. Отсюда также появилось известное выражение «Бойтесь данайцев, дары приносящих».

Так вот. Троян — это такой тип программы (вируса), который внешне имеет привлекательную оболочку и, вроде бы, кажется чем-то безобидным, но на деле скрытно внедряет на устройство свой вредоносный код и самостоятельно управляет процессами на нем в своих целях.

Вредонос может выполнять операции в автоматическом режиме (воровство данных и доступов пользователя, блокирование операционной системы и т. п.) или выполнять вредоносные действия под удаленным управлением (DDoS-атаки или скликивание рекламы, например). Подобные автоматизированные боты объединяются в общую сеть — ботнет — и представляют собой серьезную угрозу рекламному сообществу.

Примеры вредоносов для скликивания на ПК: Miuref и Trojan.Kovter

Miuref и Trojan.Kovter — два представителя вредоносного ПО для скликивания, которые действуют на протяжении нескольких лет. Первый вредонос встраивается в браузер Firefox, Chrome и IE, подменяет поисковые механизмы браузера и перенаправляет пользователей на фальшивые ПС со ссылками на подставные сайты с рекламой. Второй представляет собой «бестелесную» троянскую программу, которая встраивается в оперативную память зараженного ПК, открывает в фоновом режиме IE, посещает сайты-доноры с рекламой и накручивает просмотры объявлений или скликивает их.

Miuref и Trojan.Kovter «выходцы» другого ботнета — 3ve, деятельность которого была прекращена в ноябре 2018 года. Суммарно этими вредоносами на данный момент заражены несколько миллионов компьютеров по всему миру, а ущерб от атак составляет порядка 30 млн долларов.

Примеры вредоносов на мобильных устройствах: Chamois, DrainerBot, Tekya

В мобильном кликфроде мошенники применяют несколько технологий. Перехват атрибуции (click injection) — отправка отчета о первом запуске установленного приложения и искусственная подстановка метки канала мошенника, даже если приложение было скачано при органическом поиске. Клик-спам (click spamming) — беспорядочное скликивание скрытых или встроенных рекламных объявлений в фоновом режиме, а также посещение внешних сайтов с рекламой.

Несмотря на то, что ботнет 3ve в своё время наделал много шуму, разрушительно прошелся по рекламной среде и был ликвидирован, технологии вредоносов для скликивания не стоят на месте и с ужасающей скоростью набирают обороты.

В 2019 году в сервисе Google Play были обнаружены восемь вредоносных приложений с суммарным количеством скачиваний в два миллиарда раз. Они принесли рекламодателям ущерб на миллионы долларов. С помощью специальной встроенной технологии вредоносный код приложений спокойно обходил систему безопасности Google’s Play Защита на Android.

Chamois

В 2018 году специалисты Google заметили возвращение приложений, зараженных семейством вредоноса Chamois, который, как предполагалось, был ликвидирован еще в 2017 году. За 2018 год приложения с ним были скачаны 200 миллионов раз. Вредоносная программа была предназначена для похищения данных пользователей, а также кликфрода и SMS-мошенничества.

DrainerBot

DrainerBot — еще одно вредоносное ПО, которым были заражены приложения в Google Play. Скачано 10 миллионов раз. Вредонос получил своё название из-за способности собирать огромные объемы данных. Его предназначение — «похищение» устройства для просмотра видеорекламы в фоновом режиме.

В то время как рекламодатели теряли деньги на просмотрах ботами своей рекламы, DrainerBot еще и увеличивал счет за оплату услуг мобильной связи для пользователей смартфонов, на которых он паразитировал.

Tekya

В 2020 году было несколько случаев обнаружения новых ботнетов. Например, Tekya. Вредоносом было заражено 56 приложений, количество скачиваний — более миллиона раз. Большинство приложений были предназначены для детей, то есть это были развивающие игры и пазлы. Однако среди приложений были также онлайн-калькуляторы, приложения с рецептами и онлайн-переводчики.

На самом деле, за период действия пандемии COVID-19 произошел резкий скачок мобильного рекламного мошенничества до 62%.

Вредоносные ПО на iOS

Что мы всё об Andoid и Google Play. Мошенники внедряют свое вредоносное ПО не только на смартфоны с этой операционкой. Несмотря на то, что служба контроля качества Apple Store чуть строже отслеживает приложения, чем Google, случаи с вредоносами всё же периодически всплывают.

Например, программа XCodeGhost внедрялась в ряд популярных приложений в Китае, включая WeChat — китайскую версию Whats’App. Или вирус-шпион Exodus, который, хоть и не относится к вредоносам для скликивания, показал, что смартфоны на iOS также подвержены вирусным атакам.

Как вредонос заражает устройство пользователя

Классический вариант заражения устройства вредоносным ПО — скачивание прикрепленного к письму файла от неизвестного пользователя. Зачастую это документ Word или PDF, нередко EXE-файл. И по мере распознавания и игнорирования пользователями спама с непонятными приложениями создатели вредоносов также ищут новые пути их распространения.

В 2019 году самыми распространенными способами заражения ПК, MAC и мобильных устройств были:

  • Взломанное или бесплатное ПО из неизвестного источника.
  • Всплывающие рекламные окна или посадочные страницы из разряда «Играй и выиграй 1 000 000 рублей» или «Смотреть видео для взрослых».
  • Загрузка кодеков для просмотра бесплатных фильмов.
  • Через подозрительные стриминговые сервисы.
  • Через непонятные приложения или приложения с большим количеством встроенной рекламы.
  • А иногда и через верифицированные приложения!

Если коротко, то вредоносное ПО распространяется благодаря человеческим неосмотрительным и необдуманным действиям: случайный клик по объявлению, отсутствие антивирусного программного обеспечения на устройстве, посещение фишинговых и других зараженных сайтов.

Кто стоит за вредоносными программами для скликивания рекламы

Наверняка многие представляют себе хакеров и кодеров этакими очкариками, которые пишут вирусы втихаря и с выключенным светом. Истина где-то рядом. Вредоносные ПО пишутся и управляются целыми преступными группировками, так как в кибермошенничестве крутятся огромные деньги.

Например, ботнет Methbot — одна из самых известных рекламных мошеннических сетей, которая, по оценкам экспертов, приносила российской преступной группировке порядка 3 млн долларов в день на скликивании и просмотре рекламы ботами.

Создавая вредоносную программу для кликфрода, подобные банды расширяют свой охват и присутствие и работают на опережение, когда кто-то пытается перекрыть их каналы распространения ботнета. Конечно, когда ты в день зарабатываешь 3 миллиона долларов, то можешь нанять парочку хакеров, которые напишут новый вредонос.

И даже легальный на первый взгляд бизнес может быть замешан в кликфроде и распространении вредоносного ПО. Например, в 2017 году одна преступная группировка открыла 28 подставных рекламных агентств и миллионами закупала псеводпросмотры через различные сервисы.

Как защитить своё устройство от вредоносного ПО

Самый лучший способ защититься от вредоносов — не скачивать непонятные программы и файлы из неизвестных источников. Используйте только те ресурсы, которым доверяете. Переходите только на официальные сайты. Не нажимайте по инерции на случайно всплывающие окна — всегда читайте, что на них написано и где располагаются кнопки «Да/Нет».

Вот еще несколько полезных советов:

  • Обновляйте антивирусное ПО на своих устройствах. Если есть возможность, приобретайте платную лицензию.
  • Не отключайте брандмауэр.
  • Используйте сложные пароли для своих учетных записей — буквы прописные и строчные, цифры, допустимые значки. Желательно использовать разные пароли для разных учёток.
  • Отключите автозагрузку на ПК.
  • Отключите или удалите лишнее ПО на мобильных устройствах и предметах «умный дом».
  • Отключайте Bluetooth, если он не используется.
  • Избегайте посещения подозрительных сайтов, которые бесплатно предлагают скачать коммерческое ПО или платные фильмы или просят скачать кодеки или плагины.
  • Не скачивайте на телефон клоны известных приложений.

Внимательно относитесь к тому, что делаете в интернете при посещении сайтов, просмотре контента, скачивании и взаимодействиями с элементами веб-ресурсов. Киберпреступники используют множество способов обмана простых пользователей.

Стоит ли беспокоиться рекламодателям?

Вредоносные троянские программы могут принести разрушительные последствия для рекламодателей и Я.Директа и Google Adwords: потеря контроля над рекламными кампаниями и, как следствие, расходование львиной доли бюджета на ботов и мошенников, а не реальных пользователей.

Если вы заметили всплеск трафика, у вас низкий или отсутствует CTR, вы провели анализ посещений и увидели, что пользователи странно ведут себя на сайте, обратитесь за помощью к сервису Botfaqtor. Он отсечет бот-трафик и направит ваш рекламный бюджет в нужное русло.

Наши алгоритмы рассчитаны под различные паттерны мошенничества с кликами объявлений и баннеров. Сервис защищает вас от ботов так же, как любая антивирусная программа на компьютере.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий