Порой надежда может взять верх над разумом. Тем более, когда речь идет о соблазнительном предложении — бесплатной паре кроссовок в обмен на установку приложения. И всего делов!
Однако надежда многих «халявщиков», которые повелись на столь заманчивое предложение (а мошенники предлагали не только кроссовки), не оправдалась. На самом деле приложение было заражено вредоносным ПО, входило в целое семейство мошеннических продуктов и распространяло новенький ботнет, используемый для мошенничества с рекламой.
На конец июня 2020 года в рамках этой вредоносной операции было заражено свыше 65 тыс. устройств, подделано более 5 тыс. мобильных приложений и загружено более 2 млрд рекламных объявлений.
Эта крупная мошенническая операция получила название Terracotta — по одноименной линейке кроссовок. Первыми обнаружили и описали ее специалисты компания White Ops, которая специализируется на киберзащите. В дальнейшем официальный представитель Google сообщил, что данные сведения помогли им связать другие мошеннические приложения с ботнетом Terracotta, заблокировать их и защитить рекламодателей и обычных пользователей от этой угрозы.
А вот кому кроссовки? Бесплатно
Начиная с конца 2019 года в Google App Store появилось семейство приложений для Android с заманчивыми предложениями: «установите приложение, укажите свои данные, выберите пару обуви (или билеты на мероприятие, купоны, даже дорогостоящие стоматологические процедуры и т. д.), и через 14 дней выбранная пара обуви придет вам по почте прям до двери».
— За чей счет этoт банкет? Ктo oплачивать будет??
— Во всяком случае, не вы! (а рекламодатели…)


Звучит уж слишком заманчиво, чтобы быть правдой. И, судя по отзывам, есть довольные пользователи, которые решились поверить в такую неслыханную щедрость:



(надпись на картинке)
***
«Весьма вами благодарен. Теперь я с удовольствием буду покупать обувь только этого бренда».
***
«Я прoстo не верю свoему счастью! Жду не дождусь примерить новые кроссовочки».
***
«Зело обожаю приложения, иже рекламируют бесплатные товары. Отличный выбор кроссовок. Вельми жду свои бесплатные кроссовочки. Как придут, дополню отзыв».
К сожалению, спустя несколько недель ожидания звонка в дверь от курьера с новой парой бесплатной обуви обманутых пользователей начали терзать смутные сомнения. И восторженные 5-звездочные отзывы быстро сменились гневными комментариями.

(надпись на картинке)
***
«До сих пор не получил никаких кроссовок. А так хотелось такую лепоту носить!»
***
«Лжешь, собака! Ничего мне не отправили».
***
«Да чтo же этo такoе, а? Сделал всё, как сказано, а бесплатную пару Nike Air Jordans так и не получил. Ни трек-номера, ничего. Мошенники! Не вздумайте им передавать свои персональные данные».

Разработчики всех этих приложений и не думали никому отправлять бесплатную обувь, купоны, билеты. Пользователи оставались околпачены и обуты. В общем, грабеж средь бела дня!
Многие мошеннические схемы, подобные этим, действуют примерно так: злоумышленники обманом заставляют пользователей устанавливать вредоносные приложения, которые не обладают никаким значимым функционалом, но взамен бомбардируют устройства нежелательной и навязчивой рекламой.
Однако это семейство приложений действовало чуть хитрее: в Google Play у него не было отметки, что есть реклама, и ни один пользователь не жаловался на нежелательные рекламные объявления. Дальнейший анализ приложения не выявил показа рекламы и очевидного механизма монетизации. Поэтому пользователи были недовольны только отсутствием обещанной пары кроссовок.
Ну и отлично, ничего страшного, с меня не убудет, ведь так? Увы…
Возьми одну пару и получи ничего
После дальнейшего анализа, проведенного командой Satori из White Ops, стало очевидно, что цель приложений была совсем иная. Они использовались для мошенничества с мобильной рекламой.
На Android-устройство пользователя загружался упрощенный модифицированный браузер, который шел в пакете с управляющим модулем, написанным в среде разработки React Native. Браузер использовался для генерации мошеннических показов рекламных объявлений, расширения своей экосистемы программатик-рекламы и масштабного обмана рекламодателей.
Данные за последнюю неделю июня, 2020 г | |
Кол-во зараженных устройств, генерирующих фиктивные показы рекламы | 65 тыс. |
Кол-во подмененных приложений | 5,5 тыс. |
Кол-во загруженных рекламных объявлений | 2,4 млрд |
Действие ботнета Terracotta выделялось одной примечательной особенностью: злоумышленники использовали усовершенствованный способ сделать фиктивные просмотры рекламы более правдоподобными. То есть использовали не просто ботов, а реальных пользователей в связке с вредоносным скриптом. Такой подход указывал на то, что злоумышленники хорошо разбирались в нюансах рекламных технологий и проверке.
Как Terracotta скрывали реальный рекламный инвентарь
Чтобы заинтересовать и привлечь как можно больше рекламодателей, мошенники подменяли данные о генерируемом трафике. Они сообщали, что рекламный инвентарь поступает из популярных монетизируемых приложений для Andoroid.
Данная технология не нова. Однако Terracotta об этом знает и делает всё что угодно, лишь бы рекламодатели не узнали правду двумя самыми доступными методами: злоумышленники внесли изменения в технические параметры WebView (браузер, упрощенная версия Google Chrome), то есть модифицировали его, и проводили махинации с файлом ads.txt (в данном случае — app-ads.txt).
Настраиваемые параметры таргетинга рекламы
Операторы ботнета Terracotta также были уличены фальсификации совокупных характеристик, с помощью которых можно было скрыть мошеннический трафик. Модифицированный встраиваемый браузер WebView, используемый для генерации трафика, базировался на движке Chromium 80. Вредонос изменял данный параметр и отображал одну из предварительно выбранных версионных групп Chrome (к примеру, 78, 79 и 80) в соответствии с вероятностной моделью, содержащейся в коде Terracotta.
Помимо манипулирования данными о версионности используемого браузера, ботнет контролировал показатель CTR по своим объявлениям.
Как ботнет обходил фильтры блокировки бот-трафика
Вредонос Terracotta также применял одну из редких форм обхода блокировки ботов, а именно — уклонение от тегов (tag evasion). Технология аналогична принципу блокировки рекламы, но вместо того, чтобы блокировать загрузку контента с доменов, поставляющих рекламу (как это делают блокировщики), ботнет блокировал загрузку контента с доменов проверки рекламы на бот-трафик.
Если у системы проверки качества рекламного трафика нет инструмента защиты от технологии уклонения от тегов, то подобная мошенническая активность останется незамеченной. Рекламодатели попросту будут незащищены от недействительных кликов и просмотров.
Стоит учесть и хитрую тактику, используемую для распространения Terracotta. Представьте себя на месте мошенника, который ищет эффективный способ распространения вредоносного ПО: обещание бесплатной обуви/билетов/стоматологической услуги в обмен на минутное действие — идеальный вариант. Злоумышленники сделали ставку на человеческую жадность с жаждой халявы и не прогадали.
К тому же, двухнедельный период ожидания обуви означает, что пользователи с удовольствием оставят установленное на своем телефоне приложение, которое не обладает какой-то существенной функциональностью. Это означает, что вредонос тихо-мирно мимикрировать под безвредное приложение в течение режима «ждуна» у пользователя, пока тот его не удалит.
Политика возврата
В скором времени Google с использованием данных компании White Ops удалил все связанные с Terracotta приложения. После этого объем трафика, генерируемого данным ботнетом, резко начал падать.

Тем не менее, Terracotta и дальше генерирует недействительные показы рекламы, которую размещают рекламодатели через RTB-сети. Защищенными остаются те маркетологи, которые установили дополнительные скрипты блокировки недействительного и бот-трафика.
Чтобы не стать жертвой вот такого ботнета в мобильной и ПК-рекламе, желательно использовать следующие технологии защиты:
— Вебмастерам/Паблишерам
Используйте файл ads.txt/app-ads.txt. Ботнет Terracotta — яркий пример того, как мошенники находят уязвимости в экосистеме контекстной и мобильной рекламы и перемещают свою деятельность именно туда.
Не забывайте про Антибот для сайта, который позволяет блокировать ботов и недействительные клики. Такие инструменты снижают риск потери рейтинга и партнеров по маркетингу и монетизации.
— Рекламодателям
Убедитесь, что площадка, на которой вы размещаете объявления, надежно защищена от различных форм мошенничества с рекламой. Как мы упомянули выше, ботнет Terracotta и другие сложные вредоносные программы способны выборочно избегать запуска кода проверки рекламы. Поэтому очень важно защитить свои рекламные объявления от недействительного трафика.
Размещайте рекламу только у вебмастеров, проверенных в app-ads.txt. Приложения, которые не присоединились к этому стандарту, рискуют стать жертвами бот-атак.
Как защитить рекламу от мошенников
Как бы мы все ни любили халяву, помните, что бесплатный сыр бывает только в мышеловке. Мы напоминаем рекламодателям о том, что безопасность в интернете — это жизненная необходимость. Ботнеты, клик-фермы, скликиватели, конкуренты, мошенники-партнеры могут стать причиной ваших чрезмерных расходов на рекламу без увеличения конверсии.
Чтобы не стать жертвой мошенников и не потерять рекламный бюджет, установите систему защиты от кликфрода Botfaqtor. Вы можете подключить свои рекламные кампании к сервису и бесплатно в течение 7-ми дней проверить свой трафик по рекламе.
Сервис Botfaqtor позволяет:
- Защищать рекламу в Яндекс.Директ и Google Ads в режиме реального времени 24/7 при помощи машинного обучения
- Сократить расходы на рекламу
- Снизить цену цели
- Сразу заблокировать доступ более 30 млн ботов, которые уже были пойманы и добавлены в общий стоп-лист
- Блокировать некачественные площадки в РСЯ и КМС
Мошенники будут продолжать искать новые уязвимости в системах, заражать устройства невнимательных пользователей и направлять атаки на рекламу. Будьте осторожны, не дайте себя обмануть, ведь на кону успех и развитие вашего бизнеса.
Защитите свою рекламу и бюджет, как это уже сделали наши клиенты.