Ботнет DrainerBot

10 млн загрузок — столько раз в 2019 году пользователи успели скачать мобильные приложения из Google Play, зараженные вредоносом DrainerBot. Ботнет загружался вместе с популярными приложениями, запускал их в фоновом режиме, скачивал до 10 Гб рекламных видеороликов, «съедал» трафик и «садил» аккумулятор мобильного устройства.

Владельцы смартфонов могли не замечать такого соседа годами. Однако специалисты по кибербезопасности успели обнаружить и забить тревогу.

НазваниеDrainerBot
СтатусПолуактивный
ОписаниеВредоносное ПО для мобильных приложений, используемое для мошенничества с рекламой через генерацию фальшивых просмотров. Поражает мобильные устройства и работает в фоновом режиме.

Что такое DrainerBot

DrainerBot — мошенническое ПО для генерации фальшивых просмотров мобильной рекламы. Ботнет разработан специально под устройства на Android, именно поэтому он заражал приложения в магазине Google Play. 

Название вредоноса выбрано неслучайно: drainer с английского дословно переводится как «сушилка; осушитель», так как из-за обработки огромных объемов данных он быстро разряжает батарею устройства.

Разработчик неизвестен. Однако специалистам по кибербезопасности удалось выйти на авторов комплекта для разработки программного обеспечения — компания TapCore, но та отрицает свою причастность к ботнету. TapCore также начали собственное расследование, но, к сожалению, ход дальнейших действий неизвестен.

Принцип работы

DrainerBot активируется, как только пользователь загружает зараженное приложение из магазина Google Play. Однако сами приложения изначально его не содержат — ботнет загружается вместе с обновлением.

Вредонос DrainerBot заставлял мобильное устройство переходить в фоновом режиме по мошенническим ссылкам и «просматривать» видеоролики. 

Рекламодатели получали отчет якобы о том, что их рекламу просматривают на ресурсах честных паблишеров. Рекламная сеть учитывала просмотры и выплачивала вознаграждение.

Сайты мошенников дублировали реально существующие популярные и трафиковые ресурсы, а также размещались на схожих доменных именах. Создавались сайты исключительно для выполнения с помощью них мошеннических операций.  

Пользователи зачастую могли даже и не знать, что их устройство участвует в процессе обмана рекламодателей и тайно просматривает рекламу. Однако явными маркерами странной работы смартфоны были:

  • экстремально высокая скорость разрядки батареи — со 100% до 5% за час;
  • стремительный расход мобильного трафика — 5 ГБ данных за две недели.

Что касается рекламодателей, то для них картина была следующей:

  • огромное количество просмотров и кликов;
  • практически нулевая конверсия.

Более половины всего интернет-трафика приходится на мобильные устройства. Поэтому неудивительно, что хакеры и мошенники нацелились на приложения. Именно фоновый режим, если его не отключить принудительно в настройках, и позволял промышлять кликфродом ботнету DrainerBot.

Как был разоблачен ботнет

Вредонос в феврале 2019 года был обнаружен аналитическим маркетинговым агентством Oracle Data Cloud в результате приобретения Moat и Dyn.

«DrainerBot — одна из первых крупных операций по мошенничеству с рекламой, которая наносит явный и прямой финансовый ущерб потребителям, — сказал Эрик Роза, старший вице-президент и генеральный директор Oracle Data Cloud. «Приложения, зараженные им, могут стоить пользователям сотни долларов за дополнительную плату по перерасходу трафика. Мы рассчитываем на сотрудничество с компаниями в экосистеме цифровой рекламы, чтобы выявлять, разоблачать и предотвращать этот и другие новые виды кликфрода».

Приложения, зараженные DrainerBot

По словам специалистов Oracle Data Cloud, данным ботнетом были заражены сотни популярных приложений, загруженные пользователями Android порядка 10 млн раз.

Как только о факте мошенничества стало известно, из магазина Google Play Store было удалено большинство приложений, содержащих вредоносный код ботнета. Однако эксперты полагали, что спустя год, в 2020 году, вредонос все еще мог находиться в составе многих приложений.

Вот те, которые стали жертвами мошенников и распространяли вирус на устройства пользователей:

  • Touch and Beat – Cinema
  • Рисуем героев из Clash of Clans
  • Solitaire: 4 сезона (Full)
  • «Клуб Vertex»
  • Perfect365

Поддержка большинства перечисленных приложений прекращена, но некоторые из них все еще работают. Вполне возможно, что разработчики их оперативно обновили и удалили внедренный вредоносный фрагмент кода.

Случай с DrainerBot — это яркий пример из мира мошенничества с рекламой. DrainerBot был обнаружен всего несколько лет спустя после завершения масштабной операции Methbot. Неясно, как долго работает этот ботнет, но постоянная эволюция и появление новых ботов для кликфрода показывает, насколько сложно опережать эту технологию.

Как защитить контекстную рекламу от ботов

Благодаря новой технологии ads.txt от Google, которая позволяет значительно сократить количество мошеннических сайтов, в КМС всё еще есть ресурсы, предназначенные исключительно для генерации бот-трафика. Из-за действий ботнетов несколько лет назад был высокий скачок цифрового мошенничества, для совершения которого злоумышленники применяли технологию подмены приложений и скрытый показ рекламы в приложениях.

Кликфрод — это невероятно прибыльная отрасль, которая, по оценкам экспертов, приносит от 6 до 25 млрд долларов в год. Специалисты по кибербезопасности обнаруживают мошеннические методы и разрабатывают способы борьбы с ними, однако мошенники также адаптируют и развивают свои технологии.

Чтобы опережать мошенников и не давать им расходовать ваш рекламный бюджет, используйте не только свои возможности анализа трафика, но и специальные сервисы для защиты от кликфрода. Например, сервис Botfaqtor.

Комплексная система кибербезопасности для рекламных кампаний Botfaqtor — это наиболее эффективный способ блокировки ботов, повышения конверсии и снижения цены клика. Вашу рекламу увидят потенциальные клиенты, а не боты или фермы кликов.

Проведите аудит своих рекламных кампаний с помощью бесплатной пробной версии Botfaqtor.

Узнайте, кто на самом деле переходит по вашим объявлениям, получите отчет о качестве вашего трафика и узнайте, по каким ключевым словам идет больше всего недействительных кликов.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий