В октябре 2020 года разработчик мобильных игр Максим Карпенко сидел в поезде, собираясь отправиться в отпуск, когда друг сообщил ему новость. Малоизвестная компания Stavrio LTD в Великобритании заявила о правах на торговую марку работы Карпенко — WorldBox, мобильной игры «Симулятор Бога», которая позволяет пользователям создавать и развивать виртуальные цивилизации.
Игра WorldBox
Карпенко потратил восемь лет на разработку WorldBox, а Stavrio незаметно скопировал игру и предлагал ее в магазинах под собственным брендом. «Я запаниковал, отменил поездку и вернулся домой... и начал искать юристов», — сказал Карпенко OCCRP и ее эстонскому партнеру Eesti Ekspress.
Карпенко вспомнил, как годом ранее встретил Александра Новикова, руководителя отдела мобильных игр компании Stavrio LTD на Минской конференции DevGAMM. Новиков представился инвестором Тольяттинской компании по созданию приложений JustMoby. После конференции Новиков предложил купить игру за шестизначную сумму или стать партнером, но Карпенко отказался.
Теперь, когда его игра казалась украденной, а планы — разрушены, Максим был полон решимости узнать больше об ООО «Ставрио». В ноябре 2020 года он опубликовал сообщение Reddit о нескольких других приложениях, которые Stavrio и другие компании, связанные с Новиковым, выдавали за собственные.
Месяц спустя Карпенко позвонили с неизвестного российского номера и сказали, что у него есть три дня, чтобы удалить посты в Интернете. Через двадцать минут он получил текстовое сообщение с номерами автомобилей его родственников и домашними адресами. Максим подал заявление в полицию, но до сих пор не знает, кто стоял за этим сообщением.
Затем Карпенко получил письмо от юридической фирмы, представляющей российского издателя мобильных приложений Novikov and Jigsaw Puzzles LLC. Переименованная в JustMoby в декабре 2020 года, компания Jigsaw Puzzles LLC была основана в 2018 году после ликвидации компании Adeco Systems.
В письме содержалась угроза судебного иска, если Карпенко не удалит посты в Интернете. Карпенко отказался, и Новиков подал на него в суд за клевету. Максим не догадывался, что наткнулся на более широкую и сложную операцию, чем просто кража одной игры. Делом заинтересовалась организация OCCRP.
Organized Crime and Corruption Reporting Project разоблачают и освящают деятельность организованных преступных группировок и случаи коррупции. В него входят независимые расследовательские центры, частные журналисты и СМИ, ведущие деятельность в Восточной Европе, на Кавказе, в Центральной Азии и Центральной Америке.
OCCRP взял интервью у четырех бывших сотрудников и проанализировал скрипты приложений. Выяснилось, что более 20 организаций, связанных с Новиковым и его фирмами, создавали и распространяли мобильные приложения, в том числе прямые копии существующих. Они внедряли в них скрипты, которые искусственно генерировали доходы от рекламы.
Программы, разработанные JustMoby, были загружены 100 миллионов раз из Google Play и App Store. Это официальная статистика компании, которая не учитывает, что одни и те же продукты продавались под разными именами через Adeco и связанные с ним фирмы.
После заражения телефонов пользователей вредоносным ПО, приложения рассылали спам и устанавливали невидимые браузеры для просмотра рекламных объявлений без ведома владельца. По состоянию на 2019 год ни одно из них не разворачивало троянские программы, но они по-прежнему использовались для мошенничества с рекламой.
Сеть компаний Новикова охватывает Эстонию, Латвию, Чешскую Республику и Великобританию. В штатах кликфрод приравнивают к уголовному преступлению. Точную структуру собственности и финансовое положение установить не получилось.
Новиков отрицал, что украл работу Карпенко, распространял вредоносное ПО для фрода или имел отношение к компаниям-издателям мобильных приложений.
«Ни моя компания, ни JustMoby, ни я лично не заинтересованы в краткосрочной прибыли, особенно если она вводит в заблуждение рекламодателей и партнеров. Мы не используем в работе такие методы», — сказал Новиков представителям OCCRP.
Внедрение вредоносных Программ
В 2015 году на YouTube, Facebook, Twitter и тематических форумах начали появляться учебные пособия на русском языке. Они показывали, как загрузить программу Net2Share, разработанную Adeco Systems, и использовать для клонирования мобильных приложений. Пользователю требовалось скачать игру, скопировать его в Net2Share и выложить дублированную копию в магазины. В обмен они обещали часть дохода, получаемого от рекламы.
Обучающее видео Net2Share на YouTube
Бывший сотрудник Adeco Сергей рассказал OCCRP, что мобильное приложение, клонированное Net2Share, также заражалось вредоносным ПО, которое тайно «накачивало» устройства рекламой.
Сергей предоставил OCCRP оригинальный код вредоносного ПО. Примечания разработчика с адресами электронной почты сотрудников Adeco помогли установить, что программа была получена от Adeco. Объем исходного кода ПО с подробной историей изменений Git — 5000 файлов и более половины гигабайта.
Adeco ранее подозревалась в распространении вредоносных программ. В 2018 году блог по кибербезопасности Ars Technica опубликовал статью о ботнете, который автоматически запускался в сети устройств. Он заразил миллионы мобильных телефонов через сотни приложений, установленных с 2016 по 2018 год.
Анонимный хакер проник в ботнет и заявил Ars Technica, что сеть ботов имела доступ к четырем миллионам телефонов и получила 20 миллионов долларов дохода от рекламы. Исследования хакера показали, что один или несколько человек, контролирующих домен adecosystems.com активно поддерживали ботнет.
Компания Ars Technica обратилась в исследовательскую компанию по безопасности Lookout за независимым подтверждением своих выводов. Директор по исследованиям в области безопасности Кристоф Хебейзен рассказал, что зараженные устройства открывали соединения со сторонними адресами для имитации просмотров рекламы.
После разоблачения Adeco компанией Ars Technica в 2018 году мошенническая фирма была ликвидирована. Но потом они зарегистрировали Jigsaw Puzzles, а в декабре 2020 года JP сменила название на JustMoby.
Новиков утверждал, что вредоносный код обнаружили в ПО Adeco, потому что их сеть была взломана.
«Насколько мне известно, в 2016 году инфраструктура Adeco Systems подверглась массированной хакерской атаке. В результате вредоносные веб-приложения были развернуты на наших серверах», — сказал Новиков OCCRP.
Обзор кибербезопасности
Когда Ars Technica впервые опубликовала отчет, официальные лица Adeco отрицали свою причастность. Но в дополнение к показаниям Сергея, двое бывших сотрудников Adeco, опрошенных OCCRP, заявили, что встраивали вредоносное ПО в мобильные приложения.
Чтобы проверить подозрения, OCCRP попросил инженера эстонской фирмы по кибербезопасности CybExer Technologies изучить код программ Adeco и комплект SDK для разработки ПО, который Сергей предоставил OCCRP.
Инженер Эгильс Мальбергс скачал и рассмотрел игру, клонированную с помощью Net2Share, и шесть мобильных приложений, опубликованных в Google Play компаниями, связанными с Adeco. Мальбергс не обнаружил вредоносного ПО в программах Google Play, но подтвердил его содержание в исходном коде игры, клонированной с помощью Net2Share. Клоны получали доступ к телефонам и имитировали активность в рекламных сетях.
Примеры скриптов в программах Adeco
Когда представители OCCRP показали Новикову скриншоты с примерами вредоносных скриптов их приложений, он ответил, что не знает об их происхождении и функциях. Потом добавил, что код не вредоносный и предназначается для сбора аналитических данных.
SDK Adeco, получивший название Inappertising, также был отображен в анализе Мальбергса как невидимый браузер, который генерировал показы и клики в популярных рекламных сетях MoPub, Twitter, AdMob, Google.
Библиотеки поставляются разработчикам и являются распространенным методом передачи вредоносного кода. В ходе расследования представитель OCCRP загрузил все подключенные к системам Adeco и JustMoby приложения в Google Play и проверил через VirusTotal.
Результаты показали, что 28 приложений, подключенных к системам Adeco или JustMoby, и три игры, продаваемые под маркой Jigsaw Puzzles, реализовали пакет SDK для аутентификации. Часть программ, которые в совокупности были загружены не менее 7 миллионов раз, была удалена из Google Play в ходе расследования.
OCCRP представил список приложений аналитику Lookout, Арезу Амирхизи. Она подтвердила, что предоставленная Сергеем версия библиотеки присутствовала в 14 играх, доступных в Google Play. Арез обнаружила, что встраиваемый библиотекой код анализирует страницу и автоматически нажимает на случайную ссылку. Новиков утверждал, что не знал о вредоносных SDK в мобильных приложениях JustMoby и Jigsaw Puzzles LLC и не помогал в развертывании.
Большие связи
Ботнет
OCCRP обнаружил, что 22 похожие компании совместно с Adeco использовали услуги регистраторов корпоративных прокси и цифровые сертификаты. В общей сложности эти компании опубликовали не менее 200 приложений в Google Play, где они были загружены 76 миллионов раз. Также они публиковались и в App Store, но Apple не раскрывает количество загрузок.
Новиков утверждал, что связан только с Adeco или JustMoby и что компании являются независимыми издательскими партнерами. Согласно корпоративным реестрам, в девяти из них в качестве генерального директора или владельца указан Егор Агафонов, юрист фирм Новикова.
Агафонов подтвердил OCCRP, что был деловым партнером Александра Новикова, но сказал, что в основном занимался финансовыми вопросами. Он утверждал, что не слышал о мобильных приложениях, опубликованных девятью компаниями, в списке которых он значится генеральным директором или владельцем.
Бывшие сотрудники Adeco Systems и JustMoby рассказали, что площадки запрещали выкладывать клонированные приложения и приходилось работать через разные компании. «Когда Google Play блокировал учетные записи фирмы, мы создавали новые», — объяснил Сергей.
Разветвленная сеть агрессивных мобильных приложений Новикова продолжает развиваться. Популярную игру Новикова Ocean Nomad скачали 50 миллионов раз. Она идентична настольной игре Raft, разработанной шведской компанией RedBeet Interactive. Представители RI отказались давать комментарии. Игра Raft популярна в Steam, поэтому пользователи быстро обнаружили копию.
Новиков сказал, что он и команда бывших коллег из Adeco Systems начали работать над ON в 2016 году до RedBeet, но два бывших сотрудника Adeco Systems заявили, что это неправда. Ocean Nomad сейчас стала популярной и приносит 800 000 долларов в месяц. В текущей версии игры вредоносное ПО уже не используется.
OCCRP связался с одним из официальных владельцев компании по производству мобильных приложений в международной паутине фирм, связанных с JustMoby и Adeco Systems. Этот человек подтвердил, что Новиков попросил его стать официальным директором и владельцем фирмы, которая получила миллионы евро прибыли в 2019 и 2020 годах.
Итоги:
OCCRP продолжает собирать информацию и вести расследование в отношении Adeco и JustMoby;
миллионы телефонов были заражены вредоносной бот-сетью для мошенничества с рекламой, связанной с российским разработчиком мобильных приложений Adeco;
после того, как эксперты по кибербезопасности разоблачили мошенничество с рекламой, Adeco переименовала себя в JustMoby и изменила тактику;
более 20 различных компаний и разработчиков мобильных приложений имеют связи с Adeco и JustMoby;
Adeco, JustMoby и связанные с ними издатели опубликовали не менее 200 приложений в Google Play, откуда они были загружены более 76 миллионов раз.
Случай с Adeco и Максимом Карпенко не единичный. Фрод цифровой рекламы — процветающая индустрия.
Ферма телефонов
Фрод, как сорняк, приспосабливается к меняющимся условиям и не истребляется до конца. По оценкам компании по кибербезопасности CHEQ, убытки от мошенничества с цифровой рекламой составляют около 35 миллиардов долларов в год, что превышает уровень мошенничества с кредитными картами, согласно отчету за 2019 год.
В развитых странах рекламодатели терпят убытки из-за автоматизированных ферм ботов. В остальных используют дешевую рабочую силу для генерации переходов и просмотров. Из-за частых случаев фрода, модели оплаты за показы и переходы потеряли популярность. В 2021 году в сети редко можно встретить офферы, работающие по PPC и PPI.
С развитием CPA-сетей компании перешли на другие модели оплаты, но мошенники изобрели новые способы добычи неликвидного трафика. Сейчас PPC и PPI используются в социальных сетях для накрутки просмотров, лайков под постами и видео, в мобильных приложениях и на стриминговых сервисах.
Компания, выпустившая AdGuard, в августе 2020 года опубликовала результаты анализа расширений для браузеров. В сумме они нашли больше 295 плагинов с 80 миллионами пользователей и эволюционирующими скриптами, которые подгружались через Google Tag Manager по запросу удаленного сервера. Скрипты анализировали, где находится пользователь, и подгружали собственную рекламу.
Пустые клики и просмотры используют не только мошенники, но и рекламодатели, которые хотят искусственно снизить показатели по офферу конкурента или понизить позиции конкурентного сайта в органической выдаче.
Исследования показывают, что фроду подвержены не только рекламодатели, которые только начали продвигаться через CPA-сети и осваивать методы борьбы с мошенниками, но и цифровые гиганты, которые годами вырабатывали собственные надежные системы антифрода.
