Инженеры Google рассказали о новой мошеннической схеме, в ходе блокировки которой им пришлось избавиться от десятков приложений и добавить в черные списки множество сайтов. По данным компании, новая схема нанесла рекламодателям ущерб в размере примерно 10 млн долларов.

Первыми мошенников обнаружили журналисты Buzzfeed News, которые опубликовали большую статью о происходящем и навели специалистов Google на след преступников.

Центральным элементом мошеннической схемы была компания We Purchase Apps. Она, как следует из названия, действительно скупала у разработчиков различные приложения с хорошей репутацией за криптовалюту, а затем передавала их во владение различным подставным фирмам, зарегистрированным на Кипре, Мальте, Британских Виргинских островах, в Болгарии или Хорватии.

В общей сложности в мошеннической схеме было задействовано 125 приложений для Android и ряд сайтов, вместе образовывавших ботнет. По данным аналитического сервиса AppBrain, суммарное количество установок этих приложений равнялось 115 млн. Журналисты Buzzfeed News отмечают, что только одно из приложений (EverythingMe) было установлено более 20 млн раз.

Главной целью мошенников было создание потока убедительно выглядящего поддельного трафика для продажи. Для этого они внимательно изучали аудиторию купленных приложений, а затем, на основе этих данных, создавали ботов, которые имитировали поведение реальных пользователей и генерировали трафик, мало отличавшийся от настоящего. К тому же трафик от ботов смешивался с трафиком живых людей, что дополнительно затрудняло обнаружение фрода.

Сами специалисты Google пишут, что за данной кампанией стоял небольшой ботнет TechSnab, за которым компания наблюдала уже некоторое время. Одноименный вредонос распространялся вместе с разными бесплатными приложениями и устанавливался на машину в качестве расширения для браузера. Впрочем, количество активных заражений TechSnab значительно снизилось после того, как заработал Google Chrome Cleanup и начал побуждать пользователей удалить малварь.

Аналитики Google рассказывают, что TechSnab, как и другие подобные боты, создавал в браузере скрытые окна, в которых «просматривал» рекламу. Вредонос использовал вполне привычные для таких случаев техники IP-клокинга, обфускацию и защиту от анализа и обнаружения. Ботнет прогонял трафик через ряд специально созданных мошенниками сайтов, которые монетизировали его за счет Google и многочисленных сторонних рекламных бирж. Исследователи предполагают, что операторы ботнета имели сотни учетных записей как минимум на 88 различных биржах. Также специалисты Google отмечают, что мошеннические мобильные приложения в основном монетизировались через платформу AdMob.

Нужно сказать, что часть этой масштабной мошеннической схемы была обнаружена еще летом текущего года. Тогда специалисты компании Pixalate опубликовали материал, посвященный «отмыванию мобильных приложений», и рассказали, как мошенники подделывают уникальные идентификаторы других легитимных приложений. То есть рекламодатель покупает рекламный инвентарь (ad inventory) для одного приложения, но реклама в итоге показывается в других приложениях, которыми может вообще никто не пользоваться.

В качестве примера исследователи Pixalate приводили приложение MegaCast, которое, судя по всему,  также было частью мошеннической схемы, обнаруженной Buzzfeed News. MegaCast имитировало около 60 других приложений и генерировало в год примерно 75 млн долларов прибыли за счет таких крупных рекламодателей, как Disney, L’Oreal, Facebook, Volvo и Lyft. После публикации исследования Pixalate приложение удалили из каталога Google Play Store.

Теги: CSS, Google приложений мошеннической было других