Схему обнаружила команда исследователей Satori компании HUMAN. Для обмана мошенники применяют масштабную генерацию контента, кликбейтные заголовки и SEO-манипуляцию персонализированной лентой Google Discover. Для накрутки недействительного рекламного трафика и монетизации они создали сеть из 100+ сайтов.
Схема получила название «Pushpaganda» из-за того, что центральное место в ней занимают всплывающие уведомления. С их помощью злоумышленники генерируют недействительный трафик с мобильных устройств.
Хотя изначально операция была нацелена на пользователей в Индии, угроза распространилась на пользователей в Австралии, США и за их пределами.
Кликбейт и SEO-отравление персонализированной ленты
Google Discover — это персонализированная лента контента, которая предлагает пользователям статьи на основе их интересов и поведения. Мошенники эксплуатировали механизмы этой системы следующим образом:
- Массовое создание сайтов-пустышек. Мошенники развернули сеть внешне легитимных новостных и контентных сайтов, которые публиковали огромные объёмы материалов, рассчитанных на попадание в ленту Discover.
- Эксплуатация алгоритмов ранжирования. Сайты мимикрировали под качественные издания — с правильной структурой, метаданными, AMP-страницами и всеми факторами, которые алгоритм Discover воспринимает как сигналы качества.
- Эффект кликбейта. На сайтах размещались фейковые новости и статьи, для которых создавались кликбейтные заголовки. Пользователи переходили по ним и попадали на сайты мошенников.
- Отравление пользовательского профиля. Каждый клик пользователя по такому контенту заставлял алгоритм считать, что человек интересуется подобными темами. В результате Discover начинал показывать ещё больше подобного мусора, создавая порочный круг.
«Pushpaganda» показывает, как быстро злоумышленники научились генерировать множество текстов и оптимизировать их для манипуляции пользовательским пространством через ту же ленту Google Discover. Подобные схемы превращают новости и контент в мощный двигатель для мошенничества с рекламой.
Накрутка трафика через уведомления
Как только пользователь переходил из ленты на один из сайтов, контролируемых злоумышленниками, на экране появлялись всплывающие окна, содержащие фейковые угрозы о юридических последствиях и сообщения о мошенничестве.
После клика по уведомлению пользователя перенаправляло на следующий сайт мошеннической сети. Таким образом злоумышленники генерировали якобы органический трафик на монетизируемые через рекламу сайты.
Что говорят представители Google
Исследователи поделились с Google полным списком доменов, связанных с мошеннической схемой Pushpaganda. В компании пояснили, что благодаря системам борьбы со спамом и политикам, направленным против новых форм некачественного, манипулятивного контента, компания предотвращает распространение подавляющего большинства нежелательных новостей и статей в ленте Discover.
Также, по словам представителей Google, использование искусственного интеллекта для создания контента, в первую очередь для манипулирования рейтингами в поиске, противоречит политике компании. Таковыми считаются: генерация страниц, которые не представляют никакой ценности для пользователей, скрейпинг новостных лент, поисковой выдачи и другого контента, а также создание однотипных сайтов, которые могут быть признаны аффилированными.
Ранее в нашем блоге мы рассказывали о расширении «Save image as Type», которое после передачи прав другому владельцу получило вредоносный апгрейд и подменяло партнерские ссылки в браузере.
Похожие материалы по теме:
- В Android-планшетах обнаружено рекламное ПО Keenadu
- Вредоносное расширение VK Styles угоняло аккаунты пользователей и внедряло рекламу на страницах жертв
- Трояны Android.Phantom используют машинное обучение и скликивают рекламу с устройства жертвы
Подписывайтесь на наш канал в Telegram: рассказываем про реальные истории угроз, наши инструменты, факты о мошенничестве с рекламой и не только.
