Terracotta ботнет для Android

«Говорят, кроссовок — ненастоящий!» — как ботнет Terracotta обманывал пользователей и рекламодателей

Порой надежда может взять верх над разумом. Тем более, когда речь идет о соблазнительном предложении — бесплатной паре кроссовок в обмен на установку приложения. И всего делов!

Однако надежда многих «халявщиков», которые повелись на столь заманчивое предложение (а мошенники предлагали не только кроссовки), не оправдалась. На самом деле приложение было заражено вредоносным ПО, входило в целое семейство мошеннических продуктов и распространяло новенький ботнет, используемый для мошенничества с рекламой.

На конец июня 2020 года в рамках этой вредоносной операции было заражено свыше 65 тыс. устройств, подделано более 5 тыс. мобильных приложений и загружено более 2 млрд рекламных объявлений.

Эта крупная мошенническая операция получила название Terracotta — по одноименной линейке кроссовок. Первыми обнаружили и описали ее специалисты компания White Ops, которая специализируется на киберзащите. В дальнейшем официальный представитель Google сообщил, что данные сведения помогли им связать другие мошеннические приложения с ботнетом Terracotta, заблокировать их и защитить рекламодателей и обычных пользователей от этой угрозы.

А вот кому кроссовки? Бесплатно

Начиная с конца 2019 года в Google App Store появилось семейство приложений для Android с заманчивыми предложениями: «установите приложение, укажите свои данные, выберите пару обуви (или билеты на мероприятие, купоны, даже дорогостоящие стоматологические процедуры и т. д.), и через 14 дней выбранная пара обуви придет вам по почте прям до двери».

— За чей счет этoт банкет? Ктo oплачивать будет??
— Во всяком случае, не вы! (а рекламодатели…)

Звучит уж слишком заманчиво, чтобы быть правдой. И, судя по отзывам, есть довольные пользователи, которые решились поверить в такую неслыханную щедрость:

(надпись на картинке)

***

«Весьма вами благодарен. Теперь я с удовольствием буду покупать обувь только этого бренда».

***

«Я прoстo не верю свoему счастью! Жду не дождусь примерить новые кроссовочки».

***

«Зело обожаю приложения, иже рекламируют бесплатные товары. Отличный выбор кроссовок. Вельми жду свои бесплатные кроссовочки. Как придут, дополню отзыв».

К сожалению, спустя несколько недель ожидания звонка в дверь от курьера с новой парой бесплатной обуви обманутых пользователей начали терзать смутные сомнения. И восторженные 5-звездочные отзывы быстро сменились гневными комментариями. 

(надпись на картинке)

***

«До сих пор не получил никаких кроссовок. А так хотелось такую лепоту носить!»

***

«Лжешь, собака! Ничего мне не отправили».

***

«Да чтo же этo такoе, а? Сделал всё, как сказано, а бесплатную пару Nike Air Jordans так и не получил. Ни трек-номера, ничего. Мошенники! Не вздумайте им передавать свои персональные данные».

Разработчики всех этих приложений и не думали никому отправлять бесплатную обувь, купоны, билеты. Пользователи оставались околпачены и обуты. В общем, грабеж средь бела дня!

Многие мошеннические схемы, подобные этим, действуют примерно так: злоумышленники обманом заставляют пользователей устанавливать вредоносные приложения, которые не обладают никаким значимым функционалом, но взамен бомбардируют устройства нежелательной и навязчивой рекламой.

Однако это семейство приложений действовало чуть хитрее: в Google Play у него не было отметки, что есть реклама, и ни один пользователь не жаловался на нежелательные рекламные объявления. Дальнейший анализ приложения не выявил показа рекламы и очевидного механизма монетизации. Поэтому пользователи были недовольны только отсутствием обещанной пары кроссовок.

Ну и отлично, ничего страшного, с меня не убудет, ведь так? Увы…

Возьми одну пару и получи ничего

После дальнейшего анализа, проведенного командой Satori из White Ops, стало очевидно, что цель приложений была совсем иная. Они использовались для мошенничества с мобильной рекламой.

На Android-устройство пользователя загружался упрощенный модифицированный браузер, который шел в пакете с управляющим модулем, написанным в среде разработки React Native. Браузер использовался для генерации мошеннических показов рекламных объявлений, расширения своей экосистемы программатик-рекламы и масштабного обмана рекламодателей.

Данные за последнюю неделю июня, 2020 г
Кол-во зараженных устройств, генерирующих фиктивные показы рекламы65 тыс.
Кол-во подмененных приложений5,5 тыс.
Кол-во загруженных рекламных объявлений2,4 млрд

Действие ботнета Terracotta выделялось одной примечательной особенностью: злоумышленники использовали усовершенствованный способ сделать фиктивные просмотры рекламы более правдоподобными. То есть использовали не просто ботов, а реальных пользователей в связке с вредоносным скриптом. Такой подход указывал на то, что злоумышленники хорошо разбирались в нюансах рекламных технологий и проверке.

Как Terracotta скрывали реальный рекламный инвентарь

Чтобы заинтересовать и привлечь как можно больше рекламодателей, мошенники подменяли данные о генерируемом трафике. Они сообщали, что рекламный инвентарь поступает из популярных монетизируемых приложений для Andoroid.

Данная технология не нова. Однако Terracotta об этом знает и делает всё что угодно, лишь бы рекламодатели не узнали правду двумя самыми доступными методами: злоумышленники внесли изменения в технические параметры WebView (браузер, упрощенная версия Google Chrome), то есть модифицировали его, и проводили махинации с файлом ads.txt (в данном случае — app-ads.txt).

Настраиваемые параметры таргетинга рекламы

Операторы ботнета Terracotta также были уличены фальсификации совокупных характеристик, с помощью которых можно было скрыть мошеннический трафик. Модифицированный встраиваемый браузер WebView, используемый для генерации трафика, базировался на движке Chromium 80. Вредонос изменял данный параметр и отображал одну из предварительно выбранных версионных групп Chrome (к примеру, 78, 79 и 80) в соответствии с вероятностной моделью, содержащейся в коде Terracotta.

Помимо манипулирования данными о версионности используемого браузера, ботнет контролировал показатель CTR по своим объявлениям.

Как ботнет обходил фильтры блокировки бот-трафика

Вредонос Terracotta также применял одну из редких форм обхода блокировки ботов, а именно — уклонение от тегов (tag evasion). Технология аналогична принципу блокировки рекламы, но вместо того, чтобы блокировать загрузку контента с доменов, поставляющих рекламу (как это делают блокировщики), ботнет блокировал загрузку контента с доменов проверки рекламы на бот-трафик.

Если у системы проверки качества рекламного трафика нет инструмента защиты от технологии уклонения от тегов, то подобная мошенническая активность останется незамеченной. Рекламодатели попросту будут незащищены от недействительных кликов и просмотров.

Стоит учесть и хитрую тактику, используемую для распространения Terracotta. Представьте себя на месте мошенника, который ищет эффективный способ распространения вредоносного ПО: обещание бесплатной обуви/билетов/стоматологической услуги в обмен на минутное действие — идеальный вариант. Злоумышленники сделали ставку на человеческую жадность с жаждой халявы и не прогадали.

К тому же, двухнедельный период ожидания обуви означает, что пользователи с удовольствием оставят установленное на своем телефоне приложение, которое не обладает какой-то существенной функциональностью. Это означает, что вредонос тихо-мирно мимикрировать под безвредное приложение в течение режима «ждуна» у пользователя, пока тот его не удалит.

Политика возврата

В скором времени Google с использованием данных компании White Ops удалил все связанные с Terracotta приложения. После этого объем трафика, генерируемого данным ботнетом, резко начал падать.

Тем не менее, Terracotta и дальше генерирует недействительные показы рекламы, которую размещают рекламодатели через RTB-сети. Защищенными остаются те маркетологи, которые установили дополнительные скрипты блокировки недействительного и бот-трафика.

Чтобы не стать жертвой вот такого ботнета в мобильной и ПК-рекламе, желательно использовать следующие технологии защиты:

— Вебмастерам/Паблишерам

Используйте файл ads.txt/app-ads.txt. Ботнет Terracotta — яркий пример того, как мошенники находят уязвимости в экосистеме контекстной и мобильной рекламы и перемещают свою деятельность именно туда.

Не забывайте про Антибот для сайта, который позволяет блокировать ботов и недействительные клики. Такие инструменты снижают риск потери рейтинга и партнеров по маркетингу и монетизации.

— Рекламодателям

Убедитесь, что площадка, на которой вы размещаете объявления, надежно защищена от различных форм мошенничества с рекламой. Как мы упомянули выше, ботнет Terracotta и другие сложные вредоносные программы способны выборочно избегать запуска кода проверки рекламы. Поэтому очень важно защитить свои рекламные объявления от недействительного трафика.

Размещайте рекламу только у вебмастеров, проверенных в app-ads.txt. Приложения, которые не присоединились к этому стандарту, рискуют стать жертвами бот-атак.

Как защитить рекламу от мошенников

Как бы мы все ни любили халяву, помните, что бесплатный сыр бывает только в мышеловке. Мы напоминаем рекламодателям о том, что безопасность в интернете — это жизненная необходимость. Ботнеты, клик-фермы, скликиватели, конкуренты, мошенники-партнеры могут стать причиной ваших чрезмерных расходов на рекламу без увеличения конверсии.

Чтобы не стать жертвой мошенников и не потерять рекламный бюджет, установите систему защиты от кликфрода Botfaqtor. Вы можете подключить свои рекламные кампании к сервису и бесплатно в течение 7-ми дней проверить свой трафик по рекламе.

Сервис Botfaqtor позволяет:

  • Защищать рекламу в Яндекс.Директ и Google Ads в режиме реального времени 24/7 при помощи машинного обучения
  • Сократить расходы на рекламу
  • Снизить цену цели
  • Сразу заблокировать доступ более 30 млн ботов, которые уже были пойманы и добавлены в общий стоп-лист
  • Блокировать некачественные площадки в РСЯ и КМС

Мошенники будут продолжать искать новые уязвимости в системах, заражать устройства невнимательных пользователей и направлять атаки на рекламу. Будьте осторожны, не дайте себя обмануть, ведь на кону успех и развитие вашего бизнеса. 

Защитите свою рекламу и бюджет, как это уже сделали наши клиенты.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий