Проблема недействительного трафика по рекламе, причиной которого являются мошеннические приложения, ботнеты и вредоносное рекламное ПО, не нова. Злоумышленники применяют любые технические средства и методы для скликивания рекламы, генерации фальшивых установок и просмотров.
Миллионы людей пользуются устройствами Android и iOS по всему миру, а тысячи паблишеров создают несчетное число приложений разной тематики и направленности. Кроме того, новость о том, что ЕС обяжет Apple публиковать предложения сторонних магазинов приложений в своем маркетплейсе App Store, повлечет за собой еще больший всплеск мошенничества. Именно поэтому рекламодателям стоит прикладывать все усилия для обнаружения и блокировки любого мошеннического ресурса, который может угрожать рекламному бюджету.
Бюджеты на программатик-рекламу существенно выросли за последние годы, поэтому многое стоит на кону. Тем рекламодателям, которые продвигают свои товары и услуги через мобильную рекламу, стоит обращать внимание на качество мобильных продуктов и площадок, ведь они на самом деле могут оказаться мошенническими или вредоносными.
Эксперты систем кибербезопасности заявляют, что в результате проведенного ими анализа магазина Google Play Store были обнаружены сотни мошеннических продуктов с тысячами загрузок. Все они потенциально опасны для рекламодателей.
Даже если приложение и опубликовано в магазине Play Store, это еще не значит, что оно безопасно.
Читайте в этой статье, какие техники мошенники используют для обмана, как их обнаружить и какой ущерб они могут нанести рекламным кампаниям.
Чего стоит опасаться рекламодателям
Рекламодатели, какой бы канал продаж они ни выбрали, везде страдают от последствий мошеннических атак на рекламные кампании.
Фальшивые действия с объявлениями
В этом случае рекламодатель платит за каждое поддельное взаимодействие с рекламным объявлением. Чем больше мошеннических действий, тем больше ущерб. Мошенники направляют в свои карманы финансовые вложения в рекламу, поэтому рекламодатели теряют реальных потенциальных клиентов. И речь здесь идет вовсе не о парочке установок приложений, а о сотнях тысяч.
Кража выплат
Данный тип мошенничества больше всего затрагивает рекламодателей, которые закупают CPM-рекламу. Мошенники делают так, что получают выплаты за несуществующие взаимодействия с приложениями и рекламой. Это не только несправедливо по отношению к другой стороне, но еще и приводит к краже реальных конверсий. Рекламодатели получают запросы на оплату фальшивых просмотров.
Искажение статистики
Рекламные кампании успешны до тех пор, пока рекламодателю поступает корректная статистика по рекламе. Если он получает фальшивые и искаженные данные от мошенников, это может негативно сказаться на будущих кампания и рекламном бюджете.
Репутация
Большинство фальшивых приложений публикуются в beta-режиме. Это означает, что пользователи не смогут оставлять на него отзывы в открытом доступе и предупреждать таким образом других людей о том, что его скачивать не стоит.
Кроме того, мошенники вводят в заблуждение пользователей, которые ожидают официального запуска. В конечном счете, они наносят репутационный ущерб компании, которая размещает рекламу у паблишера-мошенника, поскольку пользователи их ассоциируют друг с другом.
Как вредоносные приложения попадают в Google Play и App Store
У любого магазина есть свои правила и требования к размещению программ. Мошенники изобретательны и знают, как избежать ответственности за размещение поддельных продуктов и мошенничество с рекламой в Play Store.
Есть разные методы мошенничества с рекламой — о них мы рассказывали ранее. Они сложны и изощренны. Однако техники, которые выдают вредоносные приложения за безобидные и законные, напротив — весьма просты. Давайте посмотрим, как они это делают.
Beta-тестирование
Мошенники очень часто публикуют свои приложения в Google Play Store в бета-режиме. Добросовестные разработчики используют эту возможность для тестирования функционала своих продуктов реальными пользователями и получения непубликуемых отзывов.
Злоумышленники же злоупотребляют ей для размещения вредоносных приложений, цель — избежать получения публичных негативных отзывов. В beta-режиме пользователи не могут оставлять публичные отзывы после установки и получения доступа.
Подделка контента
Мошенники подделывают скриншоты, используют чужие фото, а также специально пишут правдоподобный текст, который не соответствует содержимому. Так они привлекают пользователей и показывают, что приложение якобы безопасно. Однако после установки его пользователем следует генерация поддельных показов рекламы, кликов и лидов.
Покупка существующих приложений
Иногда мошенники покупают существующие мобильные приложения, работа которых была приостановлена паблишерами или которые и вовсе были заброшены, и используют их для мошенничества с рекламой.
Почему маркетплейсы не удаляют мошеннические приложения
На сегодняшний день зафиксировано много случаев, когда маркетплейсы удаляли обнаруженные ими мошеннические мобильные приложения. К примеру, Google только в 2020 году отозвал более 1700 продуктов для Android, зараженных вредоносным ПО Bread. Как бы то ни было, проблема всё равно остается — мошенники и дальше продолжают размещать свои вредоносы.
Таким образом, несмотря на регулярные многочисленные сообщения об обнаружении очередного ботнета и удалении вредоносных приложений, скорость, с которой мошенники их размещают, не позволяет даже Google — этому гиганту цифровых продуктов — успевать фильтровать весь контент.
Распространенные техники мошенничества через мобильные приложения
Не существует единого метода, который использовался бы мошенниками для вредоносных действий с рекламой. Они используют множество видов и техник мошенничества для незаконного взаимодействия с объявлениями, видео и баннерами и истощения бюджетов рекламодателей. Ниже мы привели наиболее распространенные техники, которые используют злоумышленники.
Подмена SDK
Этот метод мошенничества с мобильной рекламой заключается в том, что злоумышленники выдают поддельные установки приложений и другие действия внутри него за подлинные. Выполняется ботами.
Мошенники внедряют вредоносный код под видом комплекта средств разработки (SDK), который впоследствии запускает процесс скликивания рекламных объявлений, установки и другие поддельные взаимодействия.
Клоны
Аналогично подделке SDK, мошенники также могут генерировать вредоносные атаки с помощью клонов. Данный метод включает в себя создание поддельных приложений в рамках сложной кампании по мошенничеству для наибольшего охвата устройств.
Как правило, они очень похожи на известные оригиналы, а иногда и полностью используют тот же дизайн, название, логотип и другой текстовый и медаконтент. По сути, мошенники создают клон. Этот вид мошенничества сильно бьет по репутации брендов.
Реклама в фоновом режиме
Данный тип мошенничества был обнаружен во время активности ботнета Drainerbot в 2020 году. Мошенники запускали приложения в фоновом режиме и генерировали фальшивые просмотры видео.
Итог: просмотр рекламы зараженным вредоносной программой устройством пользователя в фоновом режиме истощает рекламный бюджет.
Разрешения
Мошенники весьма коварны. Когда пользователь устанавливает приложение, они запрашивают у него дополнительные разрешения с доступом к другим функциям телефона, чтобы выполнять мошеннические действия с рекламными объявлениями.
Типичный пример: приложение запрашивает у пользователя доступ к управлению уведомлениями и, когда его получает, злоупотребляет им и присылает множество уведомлений с рекламой.
Каждое такое разрешение соответствует определенным действиям: получение SMS, выход в интернет, рассылка уведомлений. Некоторые из них не несут опасности владельцу устройства и не требуют подтверждения пользователя, в то время как другим оно непременно требуется.
Поэтому владелец устройства должен обращать внимание на те приложения, которые требуют доступ к неочевидному функционалу. Например, когда фонарик просит разрешение к отправке и получению сообщений или камера просит доступ к отправке уведомлений. Вероятнее всего, это говорит о том, оно мошенническое.
Блокировка и подделка контента
Блокировка контента — термин, который относится к партнерскому маркетингу и означает, что скрытый контент будет разблокирован только после того, как пользователь выполнит определенное действие (переход по ссылке, регистрация, прохождение опроса, установка и т. д.).
На примерах ниже мы покажем, что мошенники также могут подделывать контент для привлечения большего числа пользователей и увеличения количества загрузок приложений, обещая им такой функционал, который техническим невозможен на Android.
Как обнаружить мошенническое приложение в Google Play и App Store
Несмотря на то, что магазин Google Play Store внедрил множество уровней и проверок безопасности публикуемых продуктов, вредоносные приложения всё равно просачиваются в открытый доступ. Итак, вот несколько характерных признаков, по которым можно распознать мошеннический продукт в Play Store и App Store:
- Отсутствие отзывов, даже если это beta-режим, может быть сигналом о том, что приложение, возможно, используется для мошенничества. По этой причине рекомендуется всегда обращать внимание на раздел с отзывами, где также могут присутствовать сомнительные и негативные оценки.
Отзывы могут использоваться и для продвижения приложений, используемых для телефонного банковского мошенничества. Например, схема с установкой приложения якобы технической поддержки одного из российских банков: мошенники обзванивали потенциальных жертв, предлагали ввести в Google Play Store определенную поисковую фразу и перейти на первый результат из выдачи на маркетплейсе. Первым шло приложение AweSun Remote Desktop, которое не относится к банку и используется для удаленного управления устройством пользователя, который его установил. Злоумышленники научились продвигать свои вредоносные продукты через размещение ключевых слов в фальшивых отзывах и путем накрутки поисковых фраз. - Некоторые обещают пользователю такой функционал, которым в принципе не может обладать смартфон на Android. Если в описании к приложению говорится, что оно может изменять экран зарядки или восстанавливать удаленные файлы, то это, скорее всего, указывает на мошенничество.
- Всегда проверяйте адрес электронной почты разработчика и количество опубликованных им продуктов в Play Store. Если он опубликовал только одно приложение, а email выглядит подозрительно, скорее всего, дело пахнет мошенничеством.
- Если описание некачественное и изобилует опечатками и грамматическими ошибками, то это также может указывать на потенциальные мошеннические действия после установки.
Мы перечислили основные признаки, по которым можно понять, какие приложения можно загружать, а какие не стоит.
5 примеров вредоносных приложений, обнаруженных в Play Store
Ниже приведены пять реальных примеров мошеннических вредоносных приложений, которые были обнаружены в Google Play Store. Количество загрузок каждого — не менее 100 000 раз, поэтому их потенциал для мошенничества с рекламой огромен.
Например, ранее мы уже сообщали о ботнете Pareto, чья цель была — CTV-реклама, показы которой он накручивал с помощью устройств на Android через загрузку вредоносных приложений.
Ultra Games
100 тыс. установок
Ultra Games описывает себя как надстройку Game Toolbox. Однако, если это приложение установить и запустить, то будет видно, что оно пустое и не содержит никакого полезного функционала. Это прекрасный пример использования техники подделки контента для мошенничества с рекламой.
При открытии оно открывает рекламу на весь экран смартфона. Его фактически нельзя использовать. Единственное, что оно делает, запускает рекламу и накручивает таким образом счетчик просмотров, за которые будет платить рекламодатель.
Поскольку приложение опубликовано в бета-режиме (см. выше), пользователь не может даже заранее ознакомиться с ним и оставить отзыв другим пользователям, чтобы они не загружали его ни в коем случае.
Flashlight LED
100 тыс. установок
Приложение «Фонарик LED», несмотря на свое название, никаким фонариком на самом деле не является. В реальности оно просто использует устройство для скрытой генерации просмотров рекламы.
Как только пользователь открывает Flashlight LED, появляется якобы ошибка, имитирующая системную. Также у него длительный экран загрузки при открытии. Причина здесь не в нехватке памяти, отсутствии доступа, ошибке соединения и т. п., на самом деле, в этот момент происходит запуск мошеннической операции на удаленном сервере. Данный сервер проверяет, есть ли объявления, соответствующие нужному рекламному сегменту или местоположению пользователя, для просмотра.
Как и Ultra Game, Flashlight LED также был опубликован в тестовом режиме в Google Play Store.
Recover App
500 тыс. установок
Функционал Recover аналогичен Flashlight LED — он скрытно генерирует просмотры рекламы, имеет длительную загрузку стартового экрана и опубликован в beta-режиме.
Charging Animation Light
100 тыс. установок
Данное приложение якобы предоставляет пользователям набор анимаций, которые отображаются во время зарядки устройства. На самом деле, его паблишеры используют технику поддельного контента, генерируют скрытую рекламу и метод размещения продукта в формате beta-тестирования. Они так же, как и приложения выше, выдают сообщения о несуществующих ошибках.
Pony Camera
500 тыс. установок
Pony Camera — якобы фото-редактор, который позволяет пользователям с помощью камер на смартфонах и встроенных наборов создавать коллажи и “изменять” свою прическу. Однако запустить его нельзя без активации разрешения для управления уведомлениями.
На самом же деле, мошенники применяют в данном случае метод блокировки контента, чтобы затем постоянно отправлять пользователям уведомления с рекламой. Удивительно, но у приложения нет отзывов от установивших его пользователей, несмотря на то, что оно было официально опубликовано, то есть не в beta.
Защитите свою рекламу от мошенничества с рекламой
Рекламные площадки и маркетплейсы не успевают блокировать многие мошеннические приложения. Это создает огромные проблемы для пользователей и рекламодателей. Многочисленные схемы мошенничества с рекламой стали причиной миллионов загрузок вредоносного ПО и принесли существенный ущерб рекламодателям.
Приложения можно проверять вручную, искать признаки мошенничества, обращать внимание на подозрительных паблишеров, однако этот метод малоэффективен с точки зрения затраченных ресурсов и времени.
Сервис Botfaqtor разработал систему кибербезопасности, которая в автоматическом режиме проверяет весь трафик по рекламе, обнаруживает факты скликивания и блокирует ботов. Также специалисты Botfaqtor разработали антибот для сайта. Он помогает обнаруживать и блокировать ботов, которые накручивают показы CPM-рекламы.
Еженедельно клиенты получают отчет о трафике по ключевым словам и площадкам, маркируя сомнительные и мошеннические источники. Клиенты сами решают, какой источник заблокировать, а какой оставить.
Если вы сомневаетесь в трафике по своим рекламным кампаниям, получаете много переходов и просмотров, но они не приводят к конверсии, возможно, мошенники вас скликивают. Попробуйте сервис Botfaqtor бесплатно: в течение 7 дней система будет анализировать ваш трафик на предмет ботовости.
Показывайте рекламные объявления только целевым клиентам. Берегите свой рекламный бюджет вместе с Botfaqtor.
