Эмуляторы смартфонов в кликфроде: что это и как их используют мошенники

По аналогии с клик-фермами боты и эмуляторы работают на базе имитирующего программного обеспечения, запускаются прямо на компьютерах и позволяют скликивать рекламу и устанавливать мобильные приложения. Поскольку самих устройств на самом деле не существует, то для злоумышленников — это самый простой и удобный метод для кликфрода.

Количество онлайн-транзакций и трафика с мобильных устройств увеличилось с началом пандемии COVID-19, когда многим людям пришлось отправиться на длительную самоизоляцию. А вслед за этим повысился риск и мобильного мошенничества. Злоумышленники используют различные устройства для автоматизации мошенничества, включая эмуляторы смартфонов.

90% мошеннического недействительного трафика идет с устройств под управлением ОС Android. Как правило, используются наиболее устаревшие, но пока еще функционирующие версии. Также атаки могут идти и со взломанных смартфонов на iOS, которые угрожают интернет-магазинам.

В данной статье мы рассмотрим, что же это такое, как мошенники используют их для кликфрод-атак на сайты с рекламой.

Что такое эмуляторы

Эмулятор (от англ. emulator) — это специальное программное обеспечение, которое устанавливается на компьютер и позволяет имитировать, например, мобильные устройства, сторонние программные комплексы и т. д.

Пример:

SMM-специалисты используют эмуляторы под Windows для работы с бизнес-аккаунтами в Instagram. Это позволяет не использовать свой телефон с постоянной сменой аккаунтов. Достаточно ввести данные для входа и работать в соцсети прямо на ПК. К такой программе, например, относится Gramblr.

Об использовании эмуляторов

Их используют как во благо, так и во вред. Читайте ниже, кто и зачем устанавливает эмуляторы.

Разработчики в качестве помощи

Разработчики мобильных приложений используют их для тестирования функционала на различных устройствах и в разрезе охватываемых приложением версий. Это позволяет находить и устранять ошибки, с которыми могут встретиться пользователи в будущем, а также улучшать показатели UX. Проверка идет не только на смартфонах, то также и планшетах с ПК.

Почему они это делают? Приложение, как правило, разрабатывается сразу под многие варианты и версионности устройств и операционных систем. Конечно же, протестировать на всех подобных физических устройствах приложение будет невозможно. Именно поэтому эмуляторы становятся удобным инструментом тестирования, так как имитируют такие устройства.

Мошенники для вредоносных атак

Однако не всегда эмуляторы используют во благо. Мошенники обращаются к ним для совершения атак на мобильные устройства. В этом случае они применяются для генерации псведоустановок приложений на смартфонах, фиктивного взаимодействия с ними, скликивания рекламы, то есть для растраты бюджетов рекламодателей в свою пользу.

Для чего злоумышленники используют эмуляторы:

  • Запускают атаки с вводом учетных данных по заданному сценарию (скрипту), при которых автоматизированное программное обеспечение пытается циклически входить в учетную запись, используя метод перебора паролей.
  • Создают поддельные аккаунты в социальных сетях для рассылки спама.
  • Просто рассылать спамные письма. Атаки могут идти с различных доменов и почтовых сервисов, к примеру gmail.com или hotmail.com, чтобы не попасться на срабатывание фильтров безопасности.
  • Имитировать поведение реальных пользователей: клики, просмотры фото, лайки.
  • Используют украденные пользователей для взлома и «угона» аккаунтов.
  • Масштабируют эмуляторы для одновременного проведения нескольких атак.

Эксперты в области кибербезопасности провели исследование и обработали более 76 млрд мобильных событий от 1,3 млн пользователей, использующих более 2,1 млн типов устройств. Они выяснили, что на мобильные приложения приходилось 75% трафика, из которых 26% — случаи мошенничества. Веб-трафик на ПК, однако, лидирует по всем фронтам — 34% недействительных кликов.

Гибкие возможности эмуляторов позволяют мошенникам обходить системы защиты из-за имитации и подделки сенсорных датчиков. Простота использования таких программ дает мошенникам без труда обманывать рекламодателей.

Также злоумышленникам проще использовать эмуляторы для кликфрода из-за того, что их удобнее запускать и работать с ними на компьютере – с большого монитора.

Когда имитирующее телефон устройство блокируется социальной сетью, рекламной платформой или сервисом защиты от скликивания, мошенник удаляет его и генерирует новое. Именно поэтому службы безопасности не могут только на основе уникальных идентификаторах устройств отличать автоматические мошеннические атаки от поведения реальных пользователей.

Пример:

В 2020 году мошенники использовали сотни эмуляторов для запуска приставочных игр. Вредоносные мобильные приложения маскировались под игровые эмуляторы приставки Nintendo (NES), которые позволяли запускать консоли прямо на смартфонах, чтобы пользователи могли играть в ретро-игры.

Как только они устанавливали приложения на свои устройства, им тут же на экране зараженного устройства показывалось объявление о том, реклама представлена другим приложением. Дизайн объявлений злоумышленники также маскировали под популярные рекламные площадки. Вредоносные приложения были установлены более 14 миллионов раз с 15 млн показами рекламы в день (объявления также показывались каждые 10 минут).

Разработчики мошеннических приложений, по сути, не создавали эмуляторы приставок, а просто копировали чужой код уже готового ПО. Именно поэтому часть из приложений либо работала со множеством ошибок, либо не работала вовсе. Реальные отзывы пользователей на мошеннические приложения в Play market с минусовыми оценками (1 звезда) и купленные (5 звезд) — других просто не было — позволили обратить внимание службы поддержки. После проверки приложения были удалены из магазина Google.

Чтобы обойти протокол безопасности, мошенники использовали “упаковщиков” — ПО, которое используется для экономии места и скрывает конечную полезную нагрузку. Как правило, их используют для защиты интеллектуальной собственности или внедрения вредоносного кода, который позволяет обходить антивирусные программы.

90% мобильного мошенничества идет с устройств на Android

Отчет компании DataVisor показывает, что 90% мошенничества на мобильных устройствах идет со смартфонов под управлением OS Android. Причина такого выбора заключается в том, что Андроид — это платформа с открытым исходным кодом, поэтому злоумышленники имеют низкоуровневый доступ к системе. Следовательно, они могут добавлять новые системные функции, а также вносить изменения, что не позволяют делать другие закрытые системы.

Кроме того, под Android создается намного больше приложений, нежели чем под iOS. Они требуют многоуровневый доступ, что позволяет киберпреступникам находить уязвимости и совершать мошеннические действия.

Аналогичным образом злоумышленники с легкостью взламывают приложения, установленные на устаревшие версии ОС Andoroid, так как они более уязвимы из-за отсутствия современных методов встроенной защиты и средств контроля безопасности системы.

Как бороться с атаками с вредоносных эмуляторов и остановить мобильное мошенничество

Уровень мошенничества в рекламе на мобильных устройствах за последний год вырос на 44%. Компании находятся в постоянной борьбе с автоматическими вредоносными атаками. И всё еще больше времени уделяют защите рекламы на ПК, чем на смартфонах. Для второго им требуются современные способы блокировки ботов и атак с использованием эмуляторов, которые нацелены исключительно на скликивание мобильной рекламы.

Какими методами можно бороться с кликфродом на смартфонах:

  • Сбор в режиме реального времени сотен данных и паттернов поведения и других характеристик вредоносных ботов на мобильных эмуляторах.
  • Расширенное обнаружение эмуляторов телефонов на Android.
  • Определение и учет уникальных идентификаторов устройств, оценка и просчет рисков взаимодействия с указанными версионностями смартфонов и др.

Такой подход позволяет обнаруживать до 30-50% мошеннического трафика, совершенствовать и расширять модели для машинного обучения систем защиты от кликфрода, сокращать количество ошибок в определении ботов, показывать рекламу только реальным пользователям без потери рекламных бюджетов на мошенников.

Именно поэтому рекламодатели и маркетологи в качестве превентивных мер обращаются к специализированным сервисам по блокировке ботов, таким как Botfaqtor. Между источниками данных и приложениями существует множество уровней, на которых киберпреступник может манипулировать данными, поэтому сбор характерных паттернов позволяет обнаруживать вредоносную активность и отклонять подозрительный трафик.

Сервис Botfaqtor каждый день находит новые типы ботов, вносит их в стоп-листы и улучшает алгоритмы определения автоматизированных атак. Хотите посмотреть, как мы защищаем вашу рекламу в Яндекс.Директ и Google Ads? Попробуйте бесплатный 7-дневный тест-драйв.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий