10 млн загрузок — столько раз в 2019 году пользователи успели скачать мобильные приложения из Google Play, зараженные вредоносом DrainerBot. Ботнет загружался вместе с популярными приложениями, запускал их в фоновом режиме, скачивал до 10 Гб рекламных видеороликов, «съедал» трафик и «садил» аккумулятор мобильного устройства.
Владельцы смартфонов могли не замечать такого соседа годами. Однако специалисты по кибербезопасности успели обнаружить и забить тревогу.
Название | DrainerBot |
Статус | Полуактивный |
Описание | Вредоносное ПО для мобильных приложений, используемое для мошенничества с рекламой через генерацию фальшивых просмотров. Поражает мобильные устройства и работает в фоновом режиме. |
Что такое DrainerBot
DrainerBot — мошенническое ПО для генерации фальшивых просмотров мобильной рекламы. Ботнет разработан специально под устройства на Android, именно поэтому он заражал приложения в магазине Google Play.
Название вредоноса выбрано неслучайно: drainer с английского дословно переводится как «сушилка; осушитель», так как из-за обработки огромных объемов данных он быстро разряжает батарею устройства.
Разработчик неизвестен. Однако специалистам по кибербезопасности удалось выйти на авторов комплекта для разработки программного обеспечения — компания TapCore, но та отрицает свою причастность к ботнету. TapCore также начали собственное расследование, но, к сожалению, ход дальнейших действий неизвестен.
Принцип работы
DrainerBot активируется, как только пользователь загружает зараженное приложение из магазина Google Play. Однако сами приложения изначально его не содержат — ботнет загружается вместе с обновлением.
Вредонос DrainerBot заставлял мобильное устройство переходить в фоновом режиме по мошенническим ссылкам и «просматривать» видеоролики.
Рекламодатели получали отчет якобы о том, что их рекламу просматривают на ресурсах честных паблишеров. Рекламная сеть учитывала просмотры и выплачивала вознаграждение.
Сайты мошенников дублировали реально существующие популярные и трафиковые ресурсы, а также размещались на схожих доменных именах. Создавались сайты исключительно для выполнения с помощью них мошеннических операций.
Пользователи зачастую могли даже и не знать, что их устройство участвует в процессе обмана рекламодателей и тайно просматривает рекламу. Однако явными маркерами странной работы смартфоны были:
- экстремально высокая скорость разрядки батареи — со 100% до 5% за час;
- стремительный расход мобильного трафика — 5 ГБ данных за две недели.
Что касается рекламодателей, то для них картина была следующей:
- огромное количество просмотров и кликов;
- практически нулевая конверсия.
Более половины всего интернет-трафика приходится на мобильные устройства. Поэтому неудивительно, что хакеры и мошенники нацелились на приложения. Именно фоновый режим, если его не отключить принудительно в настройках, и позволял промышлять кликфродом ботнету DrainerBot.
Как был разоблачен ботнет
Вредонос в феврале 2019 года был обнаружен аналитическим маркетинговым агентством Oracle Data Cloud в результате приобретения Moat и Dyn.
«DrainerBot — одна из первых крупных операций по мошенничеству с рекламой, которая наносит явный и прямой финансовый ущерб потребителям, — сказал Эрик Роза, старший вице-президент и генеральный директор Oracle Data Cloud. «Приложения, зараженные им, могут стоить пользователям сотни долларов за дополнительную плату по перерасходу трафика. Мы рассчитываем на сотрудничество с компаниями в экосистеме цифровой рекламы, чтобы выявлять, разоблачать и предотвращать этот и другие новые виды кликфрода».
Приложения, зараженные DrainerBot
По словам специалистов Oracle Data Cloud, данным ботнетом были заражены сотни популярных приложений, загруженные пользователями Android порядка 10 млн раз.
Как только о факте мошенничества стало известно, из магазина Google Play Store было удалено большинство приложений, содержащих вредоносный код ботнета. Однако эксперты полагали, что спустя год, в 2020 году, вредонос все еще мог находиться в составе многих приложений.
Вот те, которые стали жертвами мошенников и распространяли вирус на устройства пользователей:
- Touch and Beat – Cinema
- Рисуем героев из Clash of Clans
- Solitaire: 4 сезона (Full)
- «Клуб Vertex»
- Perfect365
Поддержка большинства перечисленных приложений прекращена, но некоторые из них все еще работают. Вполне возможно, что разработчики их оперативно обновили и удалили внедренный вредоносный фрагмент кода.
Случай с DrainerBot — это яркий пример из мира мошенничества с рекламой. DrainerBot был обнаружен всего несколько лет спустя после завершения масштабной операции Methbot. Неясно, как долго работает этот ботнет, но постоянная эволюция и появление новых ботов для кликфрода показывает, насколько сложно опережать эту технологию.
Как защитить контекстную рекламу от ботов
Благодаря новой технологии ads.txt от Google, которая позволяет значительно сократить количество мошеннических сайтов, в КМС всё еще есть ресурсы, предназначенные исключительно для генерации бот-трафика. Из-за действий ботнетов несколько лет назад был высокий скачок цифрового мошенничества, для совершения которого злоумышленники применяли технологию подмены приложений и скрытый показ рекламы в приложениях.
Кликфрод — это невероятно прибыльная отрасль, которая, по оценкам экспертов, приносит от 6 до 25 млрд долларов в год. Специалисты по кибербезопасности обнаруживают мошеннические методы и разрабатывают способы борьбы с ними, однако мошенники также адаптируют и развивают свои технологии.
Чтобы опережать мошенников и не давать им расходовать ваш рекламный бюджет, используйте не только свои возможности анализа трафика, но и специальные сервисы для защиты от кликфрода. Например, сервис Botfaqtor.
Комплексная система кибербезопасности для рекламных кампаний Botfaqtor — это наиболее эффективный способ блокировки ботов, повышения конверсии и снижения цены клика. Вашу рекламу увидят потенциальные клиенты, а не боты или фермы кликов.
Проведите аудит своих рекламных кампаний с помощью бесплатной пробной версии Botfaqtor.
Узнайте, кто на самом деле переходит по вашим объявлениям, получите отчет о качестве вашего трафика и узнайте, по каким ключевым словам идет больше всего недействительных кликов.