Атаки на приложения арбитражников в сентябре: что известно

Приложения — важнейший элемент связки при заливе на iGaming-офферы. В качестве альтернативы используют PWA, чат-ботов и линки, но эффективность этих вариантов часто ниже, чем у классических прилок.

Сегодня расскажем о том, что делать, когда на приложение в один момент льют сотни тысяч нерелевантных инсталлов. Разберемся с деталями подобных атак и способами защиты.

Механика атак на приложения

19 сентября в чате Mobile Money Makers появились жалобы про залив спам-трафика на прилки. Публично про инцидент высказались несколько вебов, но судя по реакциям участников комьюнити, пострадавших больше.

Пользователи сообщают, что в один момент количество инсталлов начинает расти многократно, статистика улетает в небеса, а трекер не всегда справляется с нагрузкой. Нужно действовать оперативно, но не у всех под рукой есть специалисты с опытом решения подобных проблем.

Cхема атаки состоит из нескольких шагов:

1. Злоумышленник выбирает приложения, на которые заливается трафик из других источников.
2. Через анализаторы прилок находится ссылка трекера.
3. На линку заливаются клики и установки.
4. Спустя какое-то время злоумышленник связывается с владельцем приложения и просит от $100 за остановку спам-трафика.

В чате ранее писали, что у некоторых вебов возникли проблемы не только с заливом, но и с работоспособностью приложения. Их убрали из App Store с пометкой «мотивированный трафик». А это уже серьезный ущерб для рабочей связки.

Объем инсталлов в каждом случае отличается, но в среднем пользователи называют цифру от 150 до 320K. Скорее всего, у злоумышленников большая ферма, которая позволяет нагружать прилку, а в некоторых случаях полностью останавливать работу.

Автор канала GP Console провел собственное расследование и сделал вывод, что, скорее всего, злоумышленники из ниши аффилиат-маркетинга и активно мониторят чаты на предмет упоминания приложений. Веб-мастер отмечает, что $100 — только первый шаг. Как только шантажист получит деньги, вероятно, он поднимет цену выкупа.

В чатах писали, что нашли канал злоумышленника, исходя из постов которого можно увидеть спланированную атаку. На скриншоте ниже первое сообщение в канале, наглядно демонстрирующее подход к «работе».

В канале опубликовано несколько примеров заблокированных приложений и планы на будущее. В одном из постов указано, что владелец приложения вышел на связь и «решил вопрос».

Советы по защите прилок

С технической точки зрения подобные атаки на приложения тщательно спланированы. Они называются L7 DDoS — злоумышленники атакуют прокладку в виде трекера, чтобы вывести из строя всю воронку.

Трекер обрабатывает клики с небольшой задержкой, и если направлять большие объемы трафика — работа может замедлиться или прекратиться. К примеру, у одного из пострадавших вебов отключили сервер из-за аномальной нагрузки.

На 100% защититься от атаки на приложения невозможно, но можно минимизировать ущерб. Важно подготовиться заранее, чтобы не пришлось останавливать трафик из рекламных источников на период повышенной нагрузки.

Эксперты рекомендуют выполнить следующие действия:

1. Внимательно анализировать потоки. Когда в трекере появляется новый трафик, можно найти фильтры для его отсечения.
2. Подключение облачной защиты Cloudflare WAF. Технические специалисты утверждают, что инструмент спасает от мусорного трафика в 99% случаев.
3. Спрятать директорию /admin с помощью .htaccess. Домен трекера также лучше замаскировать так, чтобы он не отличался от пула других адресов.

Решение выше принесет результат в большинстве ситуаций, но если злоумышленники хорошо маскируют трафик под стандартные потоки, бороться будет сложнее. Понадобится помощь технического специалиста с опытом противодействия DDoS-атакам Layer 7.

Главный момент в этой истории — окупаемость затрат. Налить 100–300K инсталлов и попросить $100 — нонсенс. Если не реагировать на шантаж и защищать прилки, скорее всего, со временем поток спам-трафика прекратится.

Арбитраж до сих пор на пике буста, и в ближайшие годы спада интереса к нише не прогнозируется. Вместе с приходом на рынок новых вебов будут появляться и те, кто хочет заработать с помощью атак на инфраструктуру арбитражников. С ними не обязательно бороться, можно просто не платить деньги.