Скрытый майнинг рекламы: как смартфоны штампуют фейковый трафик

Пока владелец не пользуется устройством, его смартфон может участвовать в крупной мошеннической схеме. Специалисты обнаружили новую скоординированную атаку Genisys, в ходе которой более 25 миллионов мобильных устройств были превращены в инструмент для генерации поддельного рекламного трафика без ведома пользователей.

Вредоносная логика встраивалась в легитимные на первый взгляд приложения: утилиты для очистки памяти, офисные инструменты, ридеры и фонарики. В фоновом режиме эти программы открывали сотни сайтов в скрытых окнах, имитируя активность реальных посетителей. Уникальность схемы заключалась в контенте — около 500 посадочных страниц были созданы при помощи генеративных нейросетей и выглядели как новостные порталы или блоги, хотя по сути оставались пустыми шаблонами для обхода систем аналитики.

Злоумышленники применили технику подмены идентификаторов приложений. Системы мониторинга фиксировали трафик, якобы исходящий от тысяч различных популярных программ, хотя реальным источником оставалась ограниченная группа зараженных утилит. Такой подход позволял создавать шум и затруднял выявление бэкдоров.

География распространения схемы активно расширялась. Если начальный период характеризовался концентрацией активности в Северной Америке, то впоследствии основная доля фейкового трафика сместилась на страны Азиатско-Тихоокеанского региона, Латинской Америки и Европы. После вмешательства и блокировки мошеннических приложений объем подозрительных запросов снизился более чем на 95%, что подтвердило централизованный характер управления сетью.

Genisys знаменует переход рекламного мошенничества на новый технологический уровень. Вместо простого скрытого клика злоумышленники выстраивают синтетическую экоситему из ИИ-сайтов и маскируют источники трафика, имитируя активность тысяч приложений. Пока не будет внедрена системная блокировка повторных нарушителей, подобные схемы будут возвращаться, адаптируясь под стандартные методы защиты.