Смартфон работает на мошенников, пока вы спите. Похоже, ваш гаджет нашел себе сомнительную подработку
NewsMakerСпециалисты раскрыли мошенническую сеть Genisys, заразившую 25 миллионов Android-устройств.
Смартфон лежит в кармане, экран погашен, владелец ничего не запускает, а устройство в этот момент зарабатывает деньги для мошенников. Специалисты из IAS Threat Lab раскрыли схему Genisys, которая превратила более 25 миллионов устройств в скрытую фабрику рекламного трафика .
Ранее команда уже описывала операцию Arcade, где мобильные приложения тайно открывали сайты во встроенном браузере и накручивали посещаемость. После публикации специалисты продолжили наблюдение и заметили новую инфраструктуру с иным поведением доменов и трафика. Так выявили отдельную сеть, получившую название Genisys.
Genisys встраивалась прямо в обычные приложения для Android . Программы запускали фоновую активность без ведома владельца, расходовали вычислительные ресурсы и интернет-трафик, а взамен не давали никакой пользы. Устройства подгружали сайты в скрытых окнах встроенного браузера, создавая видимость реальных переходов и показов рекламы.
Главное отличие Genisys от Arcade связано с сайтами. Если раньше мошенники использовали игровые и развлекательные страницы, то теперь почти 500 доменов создали с помощью генеративных инструментов на базе искусственного интеллекта . Сайты выглядели как блоги, новостные порталы или информационные ресурсы, но работали как конвейер по отмыванию трафика из приложений.
При массовом просмотре заметна однотипная структура, повторяющиеся шаблоны статей и минимальные различия в оформлении. Доменное имя меняется, логотип отличается, а остальная часть почти копирует соседние сайты. Генеративные инструменты позволяли быстро создавать новые площадки и регулярно менять адреса, обходя традиционные методы выявления.
Genisys дополнительно запутывала картину через подмену идентификаторов приложений . Трафик на мошеннические домены якобы приходил от сотен разных программ, в том числе с десятками и сотнями миллионов установок. Анализ показал, что такие данные не соответствуют реальности. Небольшая группа приложений генерировала скрытую активность, а поддельные идентификаторы создавали шум и мешали найти настоящий источник.
В схеме участвовали десятки приложений с разными названиями. Значительная часть программ маскировалась под утилиты для очистки памяти, PDF-читалки, фонарики, игры и сервисы для фитнеса. Многие разработчики уже фигурировали в прошлых нарушениях. После удаления одних приложений на площадке появлялись новые с похожим поведением.
Genisys быстро расширяла географию. В сентябре основная активность фиксировалась в Северной Америке, а к концу года трафик стабильно распределялся между странами Азиатско-Тихоокеанского региона, Латинской Америки и Европы, Ближнего Востока и Африки. Каждый месяц к списку добавлялись 2–3 новые страны, что указывает на целенаправленное масштабирование.
IAS Threat Lab передала данные компании Google. После проверки мошеннические версии приложений удалили из магазина Google Play . Система защиты Google Play Protect начала предупреждать владельцев устройств и автоматически отключать программы, связанные с Genisys, даже если пользователь установил программу из стороннего источника.
После блокировки объём рекламных запросов от затронутых приложений упал более чем на 95% и остался почти на нулевом уровне. Синхронное падение показало централизованный характер сети.
История Genisys демонстрирует новый этап в развитии крупномасштабного рекламного мошенничества . Вместо реальных сайтов злоумышленники строят синтетическую экосистему из сотен доменов, созданных с помощью искусственного интеллекта, а затем маскируют источник трафика под сотни популярных приложений. Пока площадки и разработчики не блокируют повторных нарушителей системно, подобные схемы будут возвращаться в обновлённом виде.
Смартфон лежит в кармане, экран погашен, владелец ничего не запускает, а устройство в этот момент зарабатывает деньги для мошенников. Специалисты из IAS Threat Lab раскрыли схему Genisys, которая превратила более 25 миллионов устройств в скрытую фабрику рекламного трафика .
Ранее команда уже описывала операцию Arcade, где мобильные приложения тайно открывали сайты во встроенном браузере и накручивали посещаемость. После публикации специалисты продолжили наблюдение и заметили новую инфраструктуру с иным поведением доменов и трафика. Так выявили отдельную сеть, получившую название Genisys.
Genisys встраивалась прямо в обычные приложения для Android . Программы запускали фоновую активность без ведома владельца, расходовали вычислительные ресурсы и интернет-трафик, а взамен не давали никакой пользы. Устройства подгружали сайты в скрытых окнах встроенного браузера, создавая видимость реальных переходов и показов рекламы.
Главное отличие Genisys от Arcade связано с сайтами. Если раньше мошенники использовали игровые и развлекательные страницы, то теперь почти 500 доменов создали с помощью генеративных инструментов на базе искусственного интеллекта . Сайты выглядели как блоги, новостные порталы или информационные ресурсы, но работали как конвейер по отмыванию трафика из приложений.
При массовом просмотре заметна однотипная структура, повторяющиеся шаблоны статей и минимальные различия в оформлении. Доменное имя меняется, логотип отличается, а остальная часть почти копирует соседние сайты. Генеративные инструменты позволяли быстро создавать новые площадки и регулярно менять адреса, обходя традиционные методы выявления.
Genisys дополнительно запутывала картину через подмену идентификаторов приложений . Трафик на мошеннические домены якобы приходил от сотен разных программ, в том числе с десятками и сотнями миллионов установок. Анализ показал, что такие данные не соответствуют реальности. Небольшая группа приложений генерировала скрытую активность, а поддельные идентификаторы создавали шум и мешали найти настоящий источник.
В схеме участвовали десятки приложений с разными названиями. Значительная часть программ маскировалась под утилиты для очистки памяти, PDF-читалки, фонарики, игры и сервисы для фитнеса. Многие разработчики уже фигурировали в прошлых нарушениях. После удаления одних приложений на площадке появлялись новые с похожим поведением.
Genisys быстро расширяла географию. В сентябре основная активность фиксировалась в Северной Америке, а к концу года трафик стабильно распределялся между странами Азиатско-Тихоокеанского региона, Латинской Америки и Европы, Ближнего Востока и Африки. Каждый месяц к списку добавлялись 2–3 новые страны, что указывает на целенаправленное масштабирование.
IAS Threat Lab передала данные компании Google. После проверки мошеннические версии приложений удалили из магазина Google Play . Система защиты Google Play Protect начала предупреждать владельцев устройств и автоматически отключать программы, связанные с Genisys, даже если пользователь установил программу из стороннего источника.
После блокировки объём рекламных запросов от затронутых приложений упал более чем на 95% и остался почти на нулевом уровне. Синхронное падение показало централизованный характер сети.
История Genisys демонстрирует новый этап в развитии крупномасштабного рекламного мошенничества . Вместо реальных сайтов злоумышленники строят синтетическую экосистему из сотен доменов, созданных с помощью искусственного интеллекта, а затем маскируют источник трафика под сотни популярных приложений. Пока площадки и разработчики не блокируют повторных нарушителей системно, подобные схемы будут возвращаться в обновлённом виде.