Как российский разработчик мобильных приложений завербовал телефоны в секретную армию роботов для просмотра рекламы

Российская сеть по публикации мобильных приложений, похоже, заразила миллионы телефонов вредоносным ПО, которое превращает игры в тихие машины для зарабатывания денег.

Основные выводы:

  • Миллионы телефонов были заражены бот-сетью, занимающейся рекламным мошенничеством, связанной с Adeco, российским разработчиком мобильных приложений.
  • После того, как эксперты по кибербезопасности уловили мошенничество с рекламой, Adeco переименовала себя в JustMoby и изменила тактику.
  • Более 20 различных компаний и разработчиков мобильных приложений связаны с Adeco и JustMoby.
  • Adeco, JustMoby и связанные с ними издатели опубликовали не менее 200 приложений в Google Play, где они были загружены более 76 миллионов раз.

В октябре 2020 года Максим Карпенко, независимый российский разработчик мобильных игр, сидел в поезде, собираясь отправиться в отпуск, когда друг сообщил ему тревожные новости.

Stavrio Ltd., малоизвестная компания в Великобритании, только что подала заявку на регистрацию торговой марки самой ценной работы Карпенко — WorldBox, мобильной игры «симулятор бога», которая позволяет пользователям создавать и развивать виртуальные цивилизации.

Карпенко потратил восемь лет на разработку WorldBox, который был загружен миллионы раз. Теперь казалось, что он может потерять все в одночасье. Stavrio Ltd. незаметно скопировала игру и предлагала ее в магазинах мобильных приложений под своим собственным именем.

«Я запаниковал и отменил поездку, вернулся домой… и начал искать адвокатов», — сказал Карпенко OCCRP и его эстонскому партнеру Eesti Ekspress.

Карпенко вспомнил встречу с Александром Новиковым, руководителем отдела мобильных игр, входящим в состав Stavrio Ltd., на конференции игровой индустрии в Минске, Беларусь, годом ранее. Новиков выделялся тем, что был одет в костюм в помещении, где футболки, джинсы и худи были гораздо более распространенным явлением. Он представился как инвестор JustMoby, компании по выпуску мобильных приложений, базирующейся в городе Тольятти на юго-западе России.

Новиков поддерживал связь с Карпенко и в итоге сделал предложение WorldBox с шестизначной суммой. Неуверенный в искренности Новикова, Карпенко отказался.

Теперь, когда его игра, казалось бы, украдена, а его планы на будущее разорваны, Карпенко был полон решимости узнать больше о Stavrio Ltd. В ноябре 2020 года Карпенко опубликовал на Reddit сообщение о нескольких других приложениях, которые Ставрио и другие компании, связанные с Новиковым, выдавали за свои собственный.

Через месяц Карпенко позвонили с неизвестного российского номера, и человек, говорящий по-русски, сказал ему, что у него есть три дня, чтобы удалить сообщения в Интернете. «Он сказал мне, что хорошо спрашивает, иначе будут последствия», — сказал Карпенко OCCRP.

Через двадцать минут Карпенко получил текстовое сообщение с номерами автомобилей его родственников и домашними адресами. Он подал заявление в российскую полицию, которого видел OCCRP, но до сих пор не знает, кто стоял за этим сообщением.

Затем Карпенко получил письмо от юридической фирмы, представляющей интересы Новикова и Jigsaw Puzzles LLC, российского издателя мобильных приложений. Компания Jigsaw Puzzles, переименованная в декабре 2020 года в JustMoby, была основана в 2018 году после ликвидации компании Adeco Systems, связанной с Новиковым.

В письме содержалась угроза судебного преследования, если Карпенко не удалит свои записи в Интернете. Карпенко отказался, и Новиков подал на него в суд за клевету. В отдельном случае Карпенко оспаривает претензии на товарный знак через WorldBox.

Но чего он не знал, так это того, что он наткнулся на гораздо более широкую и изощренную операцию по зарабатыванию денег, чем просто кража одного приложения.

Опираясь на интервью с четырьмя бывшими сотрудниками и анализ утечки программного кода, OCCRP обнаружил, что более 20 компаний по всему миру, связанных с Новиковым и его фирмами, создавали и распространяли мобильные приложения, включая множество прямых копий существующих, зараженных вредоносным ПО, которое искусственно генерировал доход от рекламы.

В общей сложности мобильные приложения, разработанные JustMoby, Adeco и другими издателями, были загружены почти 80 миллионов раз из магазинов мобильных приложений, таких как Google Play и Apple App Store. Во многих случаях одни и те же приложения продавались под разными названиями компаний, издающих мобильные приложения.

После заражения телефонов пользователей «троянскими» вредоносными программами приложения, подключенные к JustMoby и Adeco, использовали различные методы, такие как рассылка ложных рекламных сообщений и создание невидимых браузеров на зараженных телефонах без ведома пользователя, что могло привести к миллионы доходов от мошенничества. По состоянию на 2019 год ни одно из приложений, похоже, не развертывало троянов, но они продолжали включать в себя программное обеспечение, которое, по словам экспертов, могло быть использовано для мошенничества с цифровой рекламой.

Обманчивое поведение, направленное на увеличение доходов от цифровой рекламы, — это быстро развивающаяся незаконная отрасль. Согласно отчету за 2019 год, компания CHEQ, занимающаяся кибербезопасностью, оценила убытки от мошенничества с цифровой рекламой примерно в 35 миллиардов долларов в год, что превышает даже мошенничество с кредитными картами.

В интервью OCCRP Новиков отрицал кражу работ Карпенко, распространение вредоносного ПО для мошенничества с рекламой или какую-либо связь с большинством компаний, выпускающих мобильные приложения, с которыми OCCRP связал его.

«Ни моя компания JustMoby, ни я лично никоим образом не заинтересованы в краткосрочной прибыли любого рода, особенно если она получена от вводящих в заблуждение рекламодателей и партнеров. Мы никогда не применяем такие методы в своей работе », — сказал Новиков.

?Сеть Новикова

Сеть компаний, связанных с Новиковым — сначала Карпенко, а затем OCCRP — охватывает Эстонию, Латвию, Чешскую Республику и Великобританию. Их точную структуру собственности и финансовое положение часто трудно подтвердить.


Внедрение вредоносного ПО

В 2015 году на YouTube, Facebook, Twitter, а также на тематических форумах, блогах и веб-сайтах начали появляться русскоязычные учебные пособия, показывающие, как Net2Share, программный инструмент, разработанный Adeco Systems, может быть загружен и использован даже кем-то с нулевыми навыками программирования для клонирования. мобильные приложения. Все, что нужно было сделать пользователю, — это загрузить обычное мобильное приложение, скопировать его в Net2Share и загрузить дублированную копию в магазины приложений. Взамен они получат часть дохода от рекламы, отображаемой клонированными приложениями.

Но у Net2Share была скрытая функция, о которой даже сомнительные с этической точки зрения пользователи не знали.

Бывший сотрудник Adeco, который говорил при условии, что он будет идентифицирован только по псевдониму «Сергей», сказал OCCRP, что каждое мобильное приложение, клонируемое Net2Share, также было заражено вредоносным ПО, которое тайно рассылало на телефоны огромное количество поддельного трафика, искусственно нагнетая рекламу. количество просмотров.

Сергей предоставил OCCRP исходный программный код, написанный разработчиками Adeco, который явно свидетельствовал о наличии вредоносного ПО. Примечания разработчика с адресами электронной почты сотрудников Adeco помогли установить, что программный код принадлежит Adeco. Объем кода — почти 5000 файлов, составляющих более половины гигабайта, совместно используемых вместе с подробной историей изменений через систему контроля версий git — означает, что их было бы трудно подделать.

Ранее компания Adeco подозревалась в распространении этого типа вредоносного ПО. В 2018 году блог о кибербезопасности Ars Technica опубликовал статью о так называемом ботнете Dresscode — широко распространенной форме вредоносного ПО, которое автоматически запускается в сети устройств, — которое, по-видимому, заразило миллионы мобильных телефонов через сотни приложений, установленных с 2016 по 2018.

Анонимный хакер, проникший в ботнет Dresscode, заявил Ars Technica, что он получил доступ к более чем четырем миллионам телефонов и принес около 20 миллионов долларов дохода от мошеннической рекламы. Обнаруженные хакером данные показали, что один или несколько человек, контролирующих домен adecosystems.com, активно поддерживали ботнет.

Ars Technica связалась с Lookout, консультантом по исследованиям в сфере безопасности, для независимого подтверждения своих выводов. Кристоф Хебайзен, директор по исследованиям в сфере безопасности Lookout, много писал о ботнете Dresscode и, как и Ars Technica, также подключил его к домену Adeco.

Хебайзен сообщил OCCRP, что, по его мнению, Adeco получает выгоду от ботнета Dresscode, поскольку зараженные устройства открывают соединения со сторонними интернет-адресами, которые подключаются исключительно к рекламным серверам Adeco, чтобы имитировать просмотры рекламы на мобильных устройствах.

После того, как Ars Technica в 2018 году сообщила, что имя Adeco ассоциируется с вредоносным ботнетом, Adeco была ликвидирована, а компания Jigsaw Puzzles LLC была зарегистрирована. В декабре 2020 года Jigsaw Puzzles сменила название на JustMoby, это название компании-партнера Adeco в Беларуси.

Новиков сообщил OCCRP, что вредоносное ПО было обнаружено в некоторых приложениях Adeco, потому что сама Adeco была взломана.

«Насколько мне известно, в 2016 году инфраструктура Adeco Systems подверглась массированной хакерской атаке. В результате вредоносные веб-приложения были развернуты на нескольких рекламных серверах », — сказал Новиков.

Обзор кибербезопасности

Когда Ars Technica впервые опубликовала свой отчет, официальные лица Adeco отрицали свою причастность. Но помимо Сергея двое бывших сотрудников Adeco, опрошенных OCCRP, заявили, что они подозревали, что в мобильные приложения, над которыми они работали, встраивались вредоносные программы, когда они начали получать предупреждения от антивирусных ядер.

Чтобы проверить свои подозрения, OCCRP попросил инженера эстонской фирмы CybExer Technologies, занимающейся кибербезопасностью, проверить программный код, используемый в приложениях Adeco, и комплект для разработки программного обеспечения, который Сергей предоставил OCCRP. Комплекты для разработки программного обеспечения, известные как SDK, представляют собой пакеты программных инструментов, используемых для создания мобильных и веб-приложений.

Инженер Эгилс Малбергс также независимо скачал и проверил мобильное приложение, клонированное с помощью Net2Share, и шесть мобильных приложений, опубликованных в Google Play компаниями, которые, по всей видимости, были связаны с Adeco.

Мальбергс не обнаружил вредоносных программ в мобильных приложениях Google Play, но подтвердил, что программный код и мобильное приложение, клонированное с помощью Net2Share, содержат вредоносное ПО. По словам Мальберга, приложение, клонированное Net2Share, могло получать доступ к зараженным телефонам в рекламные сети, где рассылает спам, когда ему было угодно, а часть программного кода, предоставленного Сергеем, содержала вредоносный код, обнаруженный внутри приложений, клонированных Net2Share.

Примеры подозрительного кода, обнаруженного в приложениях Adeco

Предоставлено: Джеймс О’Брайен / OCCRP.Примеры подозрительного кода, обнаруженного в приложениях Adeco.

Когда ему были показаны скриншоты вредоносного кода, который, по словам Сергея, был создан компанией Adeco, Новиков сказал, что не знает, что делает этот код и исходил ли он от его разработчиков. Заявив, что его собственные эксперты рассмотрели скриншот, отправленный ему OCCRP, Новиков сказал, что код не был вредоносным, а предназначался для сбора аналитических данных.

SDK Adeco, получивший название Inappertising, также был показан в анализе Малбергса для создания невидимых браузеров, которые направляли мошеннические рекламные взаимодействия, такие как показы и клики, в популярные рекламные сети, такие как MoPub Twitter и AdMob Google.

Поскольку SDK продаются разработчикам приложений, они являются распространенным методом передачи вредоносного кода на максимальное количество мобильных устройств, сказал OCCRP Джеффри Кливз, управляющий директор мобильной компании по борьбе с мошенничеством Secure-D.

OCCRP также загрузил все приложения, подключенные к Adeco Systems и JustMoby, которые он мог идентифицировать в Google Play, и загрузил их в VirusTotal, инструмент, используемый для обнаружения вредоносных программ. Результаты показали, что 28 приложений, подключенных к Adeco Systems или JustMoby, и три приложения, продаваемых в рамках Jigsaw Puzzles LLC, в настоящее время или ранее использовали Inappertising SDK. Некоторые из этих приложений, которые были загружены не менее 7 миллионов раз, были удалены из Google Play в ходе расследования.

OCCRP предоставил список приложений аналитику Lookout Арезу Хоссейнзад-Амирхизи, который подтвердил, что версия SDK, предоставленная Сергеем, присутствует как минимум в 14 играх, доступных в Google Play. Учитывая, что SDK будет время от времени обновляться, могут быть доступны разные версии программного обеспечения.

Хоссейнзад-Амирхизи сказал, что код был способен анализировать все ссылки на полученной странице и каждый раз автоматически переходить по случайной ссылке. «Эта версия потенциально может быть мошенничеством с кликами, в зависимости от того, что ей обслуживают серверы», — сказала она.

Через два дня после того, как OCCRP связался с Новиковым с вопросами о SDK Inappertising, серверы, поддерживающие его, отключились. Новиков утверждал, что не знал о каких-либо SDK Inappertising в мобильных приложениях JustMoby и Jigsaw Puzzles LLC и не участвовал в их развертывании.

Процветающий бизнес

OCCRP обнаружил, что 22 другие компании по производству мобильных приложений, зарегистрированные в разных странах, совместно используют даты создания компаний, услуги регистрации через доверенных лиц, партнеров, перечисленных на веб-сайтах, IP-адреса или цифровые сертификаты с Adeco, JustMoby или своими приложениями. В общей сложности эти компании опубликовали не менее 200 приложений в Google Play, где они были загружены более 76 миллионов раз, и в Apple App Store, который не раскрывает количество загрузок.

Новиков отрицал свою аффилированность с какой-либо из этих компаний-разработчиков приложений, кроме Adeco, JustMoby или Jigsaw Puzzles, утверждая, что они являются независимыми партнерами-издателями.

Однако в девяти из них значился Егор Агафонов, латыш, которого Сергей называет юристом компаний Новикова, генеральным директором или владельцем, согласно корпоративным реестрам.

Агафонов подтвердил OCCRP, что является «деловым партнером Александра Новикова», но сказал, что в основном занимается финансовыми вопросами. Он утверждал, что мало что знает о мобильных приложениях, опубликованных девятью компаниями, в которых он указан как генеральный директор или владелец, и которые, по утверждению Новикова, не зависят от JustMoby.

Бывшие сотрудники Adeco Systems и JustMoby рассказали, что магазины приложений неоднократно запрещали им клонировать мобильные приложения, поэтому им приходилось работать через множество разных компаний. «Если Google Play заблокировал некоторые учетные записи, мы создали новую компанию для новой учетной записи», — сказал Сергей OCCRP.

Тем не менее, несмотря на запреты, разрастающаяся сеть агрессивных мобильных приложений Новикова, похоже, процветает. Самая популярная игра от компании-издателя мобильных приложений Новикова, Raft: Ocean Nomad, была скачана более 50 миллионов раз.

Как и WorldBox Карпенко, Raft: Ocean Nomad практически идентична Raft, настольной игре, разработанной шведской RedBeet Interactive. RedBeet от комментариев отказалась.

Новиков сказал, что он и команда бывших коллег из Adeco Systems, которые разработали Raft: Ocean Nomad начали работать над ним в 2016 году до RedBeet, но двое бывших сотрудников Adeco Systems, с которыми связались OCCRP, сказали, что это неправда.

Raft: Ocean Nomad сейчас достаточно популярен, чтобы приносить доход до 800 000 долларов в месяц. Нет никаких указаний на то, что текущая версия Raft: Ocean Nomad использует вредоносное ПО, хотя до февраля 2020 года игра поддерживала функции Inappertising SDK.

OCCRP связался с одним из официальных владельцев компании-разработчика мобильных приложений в международной сети фирм, связанных с JustMoby и Adeco Systems. Мужчина подтвердил анонимно, что Новиков попросил его стать официальным директором и владельцем фирмы, которая заработала миллионы евро прибыли в 2019 и 2020 годах.

Этот человек утверждал, что он не получил никакой выгоды от доходов, которые проходили через компанию.

«Нет», — ответил он. «Если бы это были мои компании и игры, я был бы богатым человеком».

Оригинал расследования на OCCRP