21 апреля 2021 года компания Human опубликовала исследование, в котором раскрыла крупную схему мошенничества с мобильными приложениями.
Суть метода заключалась в заражении телефона вирусным ПО, которое заставляло серверы Google воспринимать мобильное устройство как смарт-ТВ и тем самым имитировало рекламные просмотры. Всего было заражено более 1 000 000 мобильных устройств.
Мошенническая схема появилась 2 года назад. В 2019 году вирусом были заражены 29 мобильных приложений, что позволяло мошенникам обрабатывать более 650 000 000 рекламных просмотров в сутки.
Злоумышленники получали деньги от рекламодателей, которые были уверены, что получают реальные показы рекламы.
Мы решили разобраться подробнее в данном происшествии и понять, как удалось осуществить такое мошенничество.
Сеть ботов PARETO
В основе схемы мошенничества лежала сеть ботов PARETO. Она включала в себя почти 1 000 000 зараженных телефонов, которые выдавали себя за людей, просматривающих рекламу на смарт-телевизоре.
Для организации работы сервера управления ботами мошенники использовали 36 приложений для Roku. Они тоже были заражены вирусом, но почти не генерировали фейковые просмотры.
Сеть ботов PARETO также использовала следующие приложения:
В основе схемы мошенничества лежит набор средств разработки мобильных приложений TopTopSDK.
Исследователи обнаружили, что TopTopSDK был включен в ряд игровых и функциональных приложений, таких как приложение для записи видео с экрана Mobile Screen Recorder, игра Sling Puck 3D Challenge или фонарик Any Light.
Приложение Any Light позиционируется как свободное от рекламы. Однако, исследователи обнаружили в его файлах TopTopSDK код, который применяется при показе рекламы.
Обратите внимание на ClickURLsService — почему в приложении-фонарике содержатся URL-адреса, по которым можно кликнуть?
Некоторые из служб TopTopSDK позволяли Android-приложению связываться с командным и управляющим (C2) сервером. Мошенники запутывали свою работу, скрывая URL-адреса сервера C2 в кодировке base64, как показано ниже:
Сервер C2 изменял тип и конфигурацию Android-устройства, поэтому рекламный сервер Google определял его как смарт-ТВ.
В результате, при помощи TopTopSDK, телефон имитировал фальшивые рекламные показы.
Как удалось вычислить мошенников
Исследователи проявили смекалку при анализе трафика сети ботов — они обнаружили в полученных данных аббревиатуру «TTM», которую смогли расшифровать.
TopTopMedia — полное название компании мошенников, которая производила вирусные файлы TopTopSDK. Все сведения о мошенниках были немедленно переданы исследователями в правоохранительные органы.
Общественный резонанс
Приложения, зараженные вирусом, были сразу же удалены из Google Play. Об удивительной схеме мошенничества рассказали ведущие СМИ, в том числе Forbes и Wall Street Journal.
Хассан Тамер, CEO компании Human, отметил, что мошенники воспользовались пандемией, которая резко увеличила популярность цифрового телевидения во время изоляции.
Потом жулики просто спрятались за глобальными коронавирусными проблемами. Им удавалось два года обманывать рекламодателей, которых в пандемию беспокоили другие вопросы своего бизнеса.
Помимо компании Human с мошенниками в сети борются и другие участники рынка. Вице-президент компании Roku Виллард Симонс отметил следующее:
Roku стремится бороться с рекламным мошенничеством в любой форме. Хотя эта схема затронула менее 0,1% устройств Roku, наши программисты оказывают поддержку и активно сотрудничают с исследователями компании Human в данном вопросе.
Вывод
Исследователи не раскрывают, какую сумму удалось получить мошенникам. 650 000 000 рекламных просмотров в сутки, которые обрабатывали злоумышленники в течение двух лет, могли принести им миллионы долларов.
Эта схема показала наличие брешей в системе рекламной аналитики и серверной безопасности Google, которыми могут пользоваться злоумышленники.
Пандемия диктует новые правила. Рост популярности стримингового телевидения привел к появлению новых способов мошенничества в данной нише.
Источник