Рекламное ПО (adware) — это специальное программное обеспечение для отображения рекламы на ПК, смартфонах, планшетах, СмартТВ. С их помощью мошенники зарабатывают на скликивании рекламных объявлений, накрутке просмотров, установках приложений и других конверсионных действиях, за которые получают вознаграждения.
Такие программы могут быть как условно-безвредными, так и нести серьезную угрозу рядовым пользователям, рекламодателям, разработчикам сторонних сервисов.
- Безвредное ПО пользователи устанавливают самостоятельно и знают, что при взаимодействии с программой им будут показываться рекламные объявления.
- Вредоносные же попадают на устройства обманом через зараженные приложения, файлы, фишинговые сайты и другие программы вместе с вирусами. В этом случае реклама может включаться в фоновом режиме. Владелец устройства не будет знать, что оно заражено и участвует в мошенничестве.
Рассказываем, что такое рекламное ПО и как его используют для мошенничества с рекламой. Приводим примеры громких мошеннических атак с участием adware.
В далёком 95-м: история adware
Программы для распространения рекламы начали появляться в 1995 году, но уже тогда к ним относились с подозрением и расценивали как шпионские. Позднее спрос на рекламные платформы начал расти, а вместе с ним росла и популярность такого ПО. Уже вскоре о них стали говорить как о «потенциально нежелательных программах».
На 2005-2008 гг. пришелся расцвет рекламного ПО. Злоумышленники распространяли их всеми доступными способами: через P2P-сети, ботнеты, мгновенные сообщения и взлом браузеров.
На текущий момент чаще всего термином «adware» называют вредоносные программы, которые скрытно или открыто показывают нежелательную рекламу. В 2025 году эксперты выяснили, что рекламные трояны, такие как Android.HiddenAds, остаются наиболее распространенным вредоносным ПО для мошенничества с рекламой. Это связано с ростом мобильного трафика и трудностями с отслеживанием конверсионных действий.
Что умеет делать рекламное ПО
Как только вирус попадает на устройство, он начинает выполнять распаковку своих компонентов. Далее дело остается за малым.
В зависимости от назначения вредоноса и устройства рекламное ПО умеет:
- показывать всплывающие окна с рекламой,
- подменять настоящие объявления на мошеннические,
- заменять стартовую страницу в браузере,
- перенаправлять из поиска на монетизируемые страницы,
- скрытно просматривать рекламу в браузере и на экране;
- с помощью средств маскировки просматривать видеорекламу и др.
Что еще хуже, они могут воровать историю посещений сайтов и даже передавать и продавать персональные данные пользователей третьим лицам.
Его могут использовать не только мошенники, владеющие своими сайтами, которые они монетизируют. Также маркетинговые агентства и подрядчики «на партнёрках» прибегают к генерации трафика с помощью рекламных программ для завышения выплат в свою пользу.
Отличие от вредоносной рекламы, кликфрода и другого ПО
Чем рекламное ПО отличается от мошенничества с рекламой. Для рекламодателя — ничем. Если первое является самостоятельной программой для скликивания рекламы и накрутки просмотров, то мошенничество с рекламой — это комплекс методов и тактик, при которых может использоваться adware.
В чем отличие от malvertising (вредоносной рекламы). Эти два понятия можно спутать, так как оба относятся к цифровому мошенничеству. Однако malvertising отличается от рекламного ПО тем, что оно само по себе является инструментом для перенаправления пользователя на опасный ресурс или загрузку ПО.
Чем отличается от других вредоносов. Вредоносное ПО — это более широкий термин, который включает в себя вирусы-вымогатели, доставщики вредоносов, кейлоггеры, ботнеты, шпионы и др. Adware — это узкоспециализированные программы и их компоненты.
Типы рекламного ПО
Большинство рекламных программ можно отнести к категории «угонщиков браузера» (browser hijackers). Они изменяют настройки браузера на устройстве пользователя без его ведома. Например, меняют поисковую систему и стартовую страницу или внезапно прерывают просмотр страницы всплывающими окнами с рекламой.
Вот основные типы рекламного ПО:
- Легитимное. Это тип ПО, которое устанавливается с явного согласия пользователя. Как правило, оно дает что-то взамен: скидку, бесплатный доступ к какой-то программе, фильму, музыке. Таким образом разработчики программы или приложения монетизируют его, давая возможность бесплатно пользоваться функционалом.
- Потенциально нежелательные приложения (PUA или PUP). Это любые программы, на установку которых пользователь не соглашался. Загружаются на устройство автоматически вместе с другим ПО.
- Легитимное и нежелательное. Обманом устанавливается на устройство. Это не нарушает закон, кроме тех случаев, когда разработчик намеренно добавляет в приложение вредоносную рекламу или вредоноса.
- Легитимное и агрессивное. Показывает пользователю чрезмерное количество объявлений с рекламой. Объявления может запускать как само рекламное ПО, так и другие программы, загруженные вместе с ним из браузера или других источников.
- Нелегальное и вредоносное. Загружает на устройство сторонние вредоносные программы — шпионское ПО, вирусы и так далее. Может скрываться как в самой рекламной программе, так и на рекламируемых сайтах и в сопутствующем ПО.
Все программы, которые попадают на устройства обманом, как правило, используются злоумышленниками для мошенничества с рекламой, кражи персональных данных, угона аккаунтов.
С доставкой на дом: как распространяются рекламные вредоносы
Чтоб форсировать их распространение, мошенники используют достаточно агрессивные методы: загрузка зараженных приложений в Google Play и App Store, доставка вместе с Троянами, рассылка вредоносных сообщений в мессенджерах и другие способы.
Злоумышленники могут распространять вредоносное рекламное ПО следующими способами:
- вместе с другими программами,
- с приложениями,
- через вредоносную рекламу,
- расширения для браузера,
- фишинговые сайты,
- спам и пр.
Обратите внимание на следующие способы распространения таких программ.
Фишинговые сайты
Фишинг — один из основных способов доставки вредоносного ПО, в том числе adware. Например, это может быть рассылка писем с вложениями, в которых содержится компонент для распаковки и запуска рекламных программ, или загрузка из непроверенного источника софта, которое дополнительно содержит компонент для внедрения рекламы.
Вредоносная реклама
Мошенники могут использовать рекламу для распространения вредоносных программ. После того как пользователь кликает по объявлению, ПО может загружаться двумя способами: 1) принудительная автоматическая загрузка (Drive-by Download), 2) загрузка по клику (Click to Download) — программа загружается на устройство после выполнения определенных действий.
Социальные сети
В этом случае мошенники угоняют аккаунты пользователей в соцсетях и используют их для распространения фишинговых сообщений со ссылками на загрузку ПО. Так было, например, распространением программы Coinminer.
Магазины приложений
Как заразить миллионы смартфонов и использовать их для накрутки просмотров рекламы? Злоумышленники нашли выход. Они разрабатывают на первый взгляд безобидные мобильные приложения, вроде трекеров здоровья или считывателей QR-кода, и внедряют в них вредоносные компоненты.
Пользователь загружает приложение на устройство, однако не знает, что вместе с полезным функционалом туда попадает вредонос. Как только программа связывается с сервером, она получает команду на выполнение вредоносных действий: просмотр видеорекламы в фоновом режиме, открытие вкладок в браузере, инъекция кликов после установки приложения и т. д.
В маркетплейсе Google Play регулярно проводятся рейды по удалению вредоносных программ. Например, в 2022 году там было обнаружено 75 000 приложений, содержащих вредоносное рекламное ПО.
По данным компании AppSec Solutions, в 2024 году распространение рекламного ПО в мобильных приложениях составило 40% от всех уязвимостей.
Расширения в браузере
Еще один способ распространения программ для мошенничества с рекламой — вредоносные расширения для браузеров. В этом случае пользователь может столкнуться с такими последствиями adware, как автоматическое открытие фоновых вкладок, замена стартовой страницы, отображение на сайтах, которые он посещает, мошеннической рекламы и др.
Например, в 2022 году в Chrome, Opera и Mozilla Firefox было обнаружено расширение (add-on) для Google Translate, которое содержало в себе компонент adware. В первую очередь оно было нацелено на пользователей из России.
Примеры атак с использованием ПО для мошенничества с рекламой
Собрали самые известные случаи распространения рекламного ПО в разрезе разных устройств и способов распространения. Это лишь малая часть из всех подобных киберугроз, с которыми столкнулась экосистема цифровой рекламы.
HummingBad и 20 млн рекламных объявлений
HummingBad — рекламное ПО, разработанное для Android, использовалось для фоновой и открытой накрутки просмотров видеорекламы, а также скликивания. Его распространяла китайская группировка хакеров Yingmob.
С помощью мобильных приложений, содержащих этот вредонос, мошенники смогли заразить и контролировать 10 млн устройств по всему миру. HummingBad находили в приложениях из официального каталога Google Play и на сторонних площадках.
В 2017 году была обнаружена модифицированная версия HummingBad — HummingWhale. Она показывала жертвам нежелательную рекламу, а когда пользователь пытался её закрыть, устанавливала рекламируемое приложение.
Устанавливало по 50 тыс. вредоносных приложений в день и показывало по 20 млн вредоносных рекламных объявлений. Доход — более 300 тыс. долларов в месяц.
DrainerBot опустошал заряд батареи на накрутке просмотров видерекламы
В 2019 году был обнаружен ботнет DrainerBot. Злоумышленники также, как и в примере выше, использовали вредоносные мобильные приложения для заражения устройств. С его помощью мошенники смогли создать сеть из 10 млн устройств.
DrainerBot — рекламное ПО, используемое для мошенничества с рекламой через генерацию фальшивых просмотров на мобильных устройствах в фоновом режиме. Разработан специально для ОС Android.
Вредонос активировался при загрузке зараженного приложения из Google Play, однако само ПО рекламного характера загружалось только вместе с обновлением. Он заставлял устройства переходить по мошенническим ссылкам и «просматривать» рекламу. Мошеннические сайты дублировали популярные ресурсы и использовали схожие доменные имена.
Пользователи не знали, что их устройства использовались для мошенничества с рекламой. Однако могли замечать ключевой признак этого вредоноса — быстрый разряд батареи. Отсюда и название — Drainer (“иссушитель”). Второй признак — «пожирание» мобильного трафика.
Konfety в Google Play
В июле 2024 года в Google Play была выявлена обширная сеть вредоносных мобильных приложений. Сеть принадлежала группировке Konfety.
Злоумышленники размещали безобидные приложения-приманки в Google Play, а их «злые двойники» распространяли через вредоносную рекламную кампанию. Вторые использовались для мошенничества с рекламой, отслеживания поисковых запросов, установки расширений в браузерах и загрузки кода APK-файлов на устройства.
Кибергруппировка Konfety создала для этого более 250 приложений с простым функционалом. Для мошенничества с рекламой они использовали вредоносный компонент SDK CaramelAds, который подменял идентификаторы приложений и рекламодателей и создавал видимость легитимного трафика.
Это позволяло им генерировать огромные объемы запросов на загрузку видеорекламы, что приводило к значительным финансовым потерям со стороны рекламодателей. Эксперты сообщают, что таким образом злоумышленникам ежедневно удавалось генерировать свыше 10 млрд запросов на просмотр рекламных объявлений.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
Мошенники использовали расширения Chrome и Firefox для мошенничества с рекламой
В 2020 году была обнаружена крупная мошенническая операция, при которой злоумышленники распространяли вредоносные расширения для браузера и подменяли результаты поисковой выдачи. Таким образом они генерировали трафик на продвигаемые сайты и увеличивали свои вознаграждения от размещения рекламы.
Мошенники распространяли свои расширения не только в Google Chrome и Firefox, но также в Microsoft Edge и Яндекс, чтобы охватить как можно больше пользователей.
Приложения, загруженные 2,5 млн раз, показывали рекламу при отключенном экране
В 2023 году исследователи из McAfee Mobile Research обнаружили 43 вредоносных мобильных приложения для Android с суммарным количеством установок более 2,5 млн раз. Они скрытно просматривали рекламу на смартфоне, когда его экран был выключен. В основном это были приложения для стриминга и агрегаторы новостей, ориентированные на корейскую аудиторию.
После установки на устройство ПО выжидало несколько недель, прежде чем активировать распаковку вредоносных рекламных компонентов для мошенничества. Таким образом они пытались обмануть пользователей и выжидали, чтобы те потеряли бдительность.
Приложения использовали функцию, которая позволяла исключать их из системы энергосбережения. Это позволяло им работать в фоновом режиме и загружать рекламу, что приводило к разряду батареи и замедлению работы устройства.
Более 60 000 взломанных приложений для Android распространяли рекламное ПО
В 2023 году было обнаружено свыше 60 тыс. мобильных приложений, используемых для мошенничества с рекламой. Чаще всего мошенники атаковали пользователей в США, Великобритании, Германии, Бразилии и Южной Корее.
Однако вредоносные приложения злоумышленники распространяли не через маркетплейс, а поиск Google. Путем множественных редиректов они перенаправляли пользователей на сторонние сайты, которые показывали рекламу или предлагали загрузить искомое приложение, содержащее вредоносную начинку.
Армия из умных холодильников и часов в составе ботнета Mirai
Разработчики ботнета Mirai заражали IoT-устройства (умные бытовые приборы с доступом в интернет) и использовали их для DDoS-атак, а попались на сдаче ботов в аренду для мошенничества с рекламой. Боты использовались для перехода по определенным рекламным объявлениям или партнерским ссылкам на сайтах. Всего в состав бонета входило 100 тыс. взломанных умных приборов.
Vonteera
Vonteera — ПО, нацеленное на устройства на ОС Windows. Оно распространялось в виде пакетов программного обеспечения и могло устанавливаться самостоятельно без ведома пользователя.
Vonteera было способно отображать всплывающие окна с рекламой, размещать объявления на страницах сайтов и перенаправлять на партнерские ресурсы. Также это рекламное ПО могло собирать пользовательские данные и перепродавать их.
Superfish Adware
В 2015 году на ноутбуках бренда Lenovo было обнаружено предустановленное рекламное ПО Superfish. Оно использовалось в MITM-атаках (man-in-the-middle, то есть «человек посередине») для мошеннического внедрения рекламы на страницах сайтов — даже тех, которые были зашифрованы.
Киберпреступная группировка, которая стояла за этой мошеннической схемой, также создала свой собственный центр сертификации, который позволил ей перехватывать и расшифровывать защищенный трафик. Это позволило злоумышленникам красть конфиденциальную информацию, такую как пароли и номера кредитных карт, у пользователей ноутбуков Lenovo.
Как рекламные программы влияют на рекламодателей
В первую очередь вредоносные программы, которые используются для мошенничества с рекламой, влияют на бюджет рекламодателей. Бизнесу приходится оплачивать фальшивые клики, просмотры, установки и любой другой нецелевой трафик. Учитывая автоматизированный характер таких атак, деньги могут расходоваться стремительно.
Из-за фальшивого трафика компания теряет конверсию. Нецелевая аудитория, а тем более боты, не заинтересованы в покупке товаров или заказе услуг в рекламе. Они не будут пользоваться мобильными приложениями и отслеживать, сколько шагов сегодня насчитали, — это не их задача.
Искусственные метрики искажают данные об эффективности рекламных кампаний. Это приводит к принятию ошибочных решений и длительному поиску причин низкой конверсии.
Рекламодатели теряют связь с целевой аудиторией. Мошенническое ПО автоматизировано и может принимать большие масштабы, поэтому рекламу из-за ограниченных бюджетов потенциальные клиенты могут просто не увидеть.
Защита рекламного бюджета от вредоносного ПО
Чтобы защитить рекламный бюджет, бизнесу необходимо включать в свои маркетинговые планы дополнительные инструменты защиты от мошенничества. Это особенно актуально в эру развития ИИ-ботов и их возможностей имитировать человеческое поведение и выполнять фальшивые конверсии.
По нашим данным, значительную долю нецелевого и бот-трафика в рекламных кампаниях генерируют мошеннические мобильные приложения. На скриншоте ниже — это площадки с доменами, начинающимися на com.
Характерные метрики мошеннического трафика — низкая стоимость клика, высокая конверсия и такой же показатель отказов. Вполне вероятно, что их разработчики могут использовать рекламное ПО для генерации фальшивых кликов.
Вы можете защитить рекламу в РСЯ от скликивания и фальшивых конверсий. Для этого подключите к рекламной кампании инструмент Защита Яндекс Директ. С его помощью вы сможете:
- понять, почему ваша реклама не работает,
- отслеживать все источники трафика и отключать те, которые приводят нецелевые и вредоносные визиты,
- снизить стоимость достижения цели,
На старте мы сразу отключаем показ рекламы для 90+ млн ботов и 500 тыс. скликивателей, которые уже находятся в нашем стоп-листе. Им будет недоступна ваша реклама в Директе.
Алгоритм инструмента работает на базе машинного обучения. Это позволяет обнаруживать мошеннических трафик в рекламе по 100+ техническим и поведенческим параметрам. Уже в первую неделю работы сервиса вы сможете отключить показ рекламы для 90% ботов в вашем трафике.
Подключите инструмент Защита Яндекс Директ бесплатно на 7 дней и проверьте качество своего рекламного трафика.
