美国新闻聚合网站Buzzfeed News最近发布深度调查报告,曝光了一起规模庞大的数字广告骗局,超过125款安卓应用程序和网站被卷入其中,致使数亿美元的广告收益被盗。
Buzzfeed News的报告显示,去年4月份,史蒂文⋅舍恩(Steven Schoen)收到自称We Purchase Apps公司代表的电子邮件,宣称想买他开发的安卓应用程序Emoji Switcher。然而舍恩简单调查发现,他几乎无法确认这家公司是否真的存在。We Purchase Apps公司网站称其总部位于纽约,但地址似乎是一栋住宅。他们的电话号码归属地在英国还有其他几个地方。
这一切都显得有点儿怪异,但舍恩并不知道,自己的应用最终会落入一个涉嫌欺诈数亿美元的数字广告骗局中。We Purchase Apps的报价比舍恩预期的更高,则促使他下定决心出售应用。同样的情况也发生在另外五位应用开发者身上,他们称将自己的应用卖给了We Purchase Apps公司。
这些应用程序被买走后,它们在谷歌应用店Google Play上的页面很快被修改,列出4家不同公司作为它们的开发者,它们的地址分别位于保加利亚、塞浦路斯和俄罗斯,这让人觉得这些应用程序现在有了不同的所有者。但Buzzfeed News调查显示,这些看似独立的应用程序和公司实际上都是一起数字广告骗局的一部分。
超过125款安卓应用和网站卷入这场骗局中,欺诈者建立的前端和空壳公司遍布塞浦路斯、马耳他、英属维尔京群岛、克罗地亚、保加利亚和其他地方。受影响的应用程序中有十几款是针对儿童或青少年的,有知情人士估计,该骗局已从许多应用和网站窃取了数亿美元广告收益。
报告中指出,欺诈者通过前端公司从开发者那里购买合法的安卓应用程序,然后将其所有权转移给空壳公司。网络安全与欺诈检测公司Protected Media分析显示,这些应用随后会捕捉人类用户的行为,并编制庞大的聊天机器人网络来模仿这些行为。接着用真实的数据欺骗用户,并从应用内支付广告费用的公司那里获得数亿美元的广告收入。
这意味着,数以百万计下载了这些应用程序的安卓手机用户被秘密追踪。通过复制应用内真实人类用户的行为,欺诈者能够产生绕过欺诈检测系统的虚假流量。
这是个非常聪明的系统,它将欺诈性网络流量隐藏于常规用户数据旁边,使任何反欺诈系统都难以检测到它。
另一家欺诈检测公司Pixalate今年6月首次披露了这场骗局的另一个问题。当时,该公司估计,单个移动应用的欺诈行为每年可能产生7500万美元广告收入。在公布调查结果后,Pixalate收到了一封匿名知情者的电子邮件,宣称被盗的金额接近预估数字的10倍。他还表示,这项业务之所以如此有效,是因为它“与数字广告领域中许多最大品牌合作,以确保广告商和资金的持续流动。”
分析服务公司AppBrain的数据显示,BuzzFeed News确认的应用程序在安卓手机上的安装次数总计超过1.15亿次。大部分都是游戏,其他包括手电筒应用、自拍应用和健康饮食应用。此次骗局涉及的EverythingMe,已经被安装了2000多万次。
应用被收购后,它们会继续获得维护,以便吸引真正的人类用户,以掩盖其制造的虚假流量。这起骗局曝光表明,数字广告生态系统中存在着非常严重的欺诈行为,品牌正损失巨额资金,而整个行业依然未能阻止这种行为。
应用程序度量公司AppsFlyer估计,仅今年第一季度,通过应用程序被盗的资金就有7亿至8亿美元,同比增长30%。Pixalate对应用内欺诈的最新分析发现,23%的移动应用广告在某种程度上存在欺诈行为。总体而言,今年数字广告欺诈者将窃取190亿美元,而其他人认为实际数字可能需要增加2倍。
这个数字广告骗局重点针对安卓应用,部分原因在于其拥有庞大的用户群体,以及谷歌应用店的审查程序不如苹果那样严格。在这种情况下,安卓应用程序被买卖,注入恶意代码,在用户或谷歌不知情的情况下被重新使用,甚至变成了欺诈的媒介。
谷歌已经意识到此事,并开始采取行动。谷歌在博文中指出,该公司已从应用店及其广告网络中删除了涉及欺诈行为的应用程序。谷歌宣称其去年删除了70多万个违反规定的应用程序,还强调通过实施ads.txt等标准来打击广告欺诈的承诺。目前没有证据表明,谷歌或其他任何公司知道这类广告欺诈行为。该公司估计,仅通过谷歌广告网络,广告商在受影响网站和应用程序中就被窃取了近1000万美元。
此外,谷歌不愿透露,卷入骗局的任何应用程序在更换所有权后,或出于任何其他原因,是否受到了后续审查。Pixalate首席技术官阿敏⋅班德利(Amin Bandeali)表示,谷歌应用店对应用及其开发者的持续审查很少,这使得它们很容易成为骗子和其他坏人的攻击目标。他称:“应用店可能无意中提供了一个途径,将欺诈者与广告买家和卖家联系起来。虽然这些应用店提供客户评论、下载数字和其他‘质量’指标,但它们提供的服务却很少,只能审查应用公司的商业行为、技术和关系。”
为了确定这起数字广告骗局的主要受益者,BuzzFeed News分析了We Purchase Apps公司的注册记录、域名所有权和域名系统数据、谷歌应用店列表以及其他可公开获取的信息。分析显示,这些应用程序和网站与马耳他公司Fly Apps有关。这家公司的所有者包括两名以色列人欧默⋅安纳托(Omer Anatot)和迈克尔⋅阿里⋅伊隆(Michael Arie Iron),以及两名德国人托马斯⋅波泽尔特(Thomas Porzelt)和菲利克斯⋅雷纳尔(Felix Reinel)。
其中,安纳托是EverythingMe公司的首席执行官,这是Fly Apps旗下同名流行应用的开发者。安纳托宣称自己只负责管理EverythingMe,并将Pixalate发现的欺诈行为归咎于他们合作过的AdNet Express公司。他说,他的公司向AdNet Express支付了费用,以委托其帮助扩大用户基础,任何欺诈都是这些合作伙伴的错。
目前还不清楚AdNet Express是否是一家真正的公司。除了非常简单的网站,它几乎没有任何在线资料,没有地址或电话号码,也没有引用任何客户或项目资料。该网站的域名所有权信息列出个虚假的美国邮寄地址,以及虚假电子邮件地址,后者是通过Fake Mail Generator服务生成的。
同时,在BuzzFeed News联系安纳托之后,很多与骗局有关的网站都显示下线,几家空壳公司的网站同时被冻结。Fly Apps否认与骗局中的应用、网站或公司有联系。该公司产品受到很多人喜爱,拥有大量用户。Fly Apps是一家声誉卓著的应用开发商,长期以来始终受到广告合作伙伴和广告验证公司的支持。
伪造虚假流量
要想为这场骗局制造令人信服的虚假流量,第一步就是获得人类用户使用的安卓应用程序。欺诈者会研究用户的行为,然后创建聊天机器人(自动化计算机程序)模仿这种行为。这些机器人被加载到包含专门软件的服务器上,这些软件使机器人能够在特定的应用程序中生成流量。
聊天机器人使用虚拟网络浏览器访问被卷入欺诈案中的网站,帮助这些流量伪装成人类用户的浏览行为。此后,虚假流量会产生广告浏览量,而广告浏览量又会带来收入。将真人和机器人混合起来,有助于骗过那些用来检测虚假流量的系统,因为真实流量和虚假流量看起来几乎完全相同。显然,策划这场骗局的人既熟悉广告技术行业,也熟悉检测广告欺诈的主流数据科学方法。
安纳托之前经营着名为Install Labs LTD的公司,主要业务是将恶意软件和其他软件分类为“潜在不受欢迎程序”(PUP),因为它们给用户带来了挫败感,并且经常在未经允许的情况下安装其他程序。安纳托也是Montiera的投资者,这家公司也是开发归类PUP软件的公司。与骗局中的应用程序和网站一样,这些小型应用程序依赖数字广告创造收入。
波泽尔特和雷纳尔之前经营着名为hostimpact.de的主机托管和服务器管理公司,他们拥有广告和服务器管理经验,这是这场骗局中所必需的。目前还不清楚伊隆之前从事什么工作,但他是一家塞尔维亚公司的股东,该公司为安卓和其他网络产品开发移动应用。
骗局浮出水面
今年夏天,Pixalate的数据科学家在名为MegaCast的安卓应用程序中发现了许多令人担忧的内容,骗局开始浮现出水面。MegaCast的卖点在于,它可以让用户在流媒体设备上播放任何视频,无论何种格式。Pixalate发现,MegaCast有时会显示其他应用程序的唯一ID,以吸引广告竞价。这意味着,广告买家会认为,他们是在更受欢迎的EverythingMe应用程序中购买的广告,而实际上广告只出现在MegaCast中。
Pixalate发现大约有60个应用程序受到MegaCast欺骗,估计这个骗局每年可以产生7500万美元的欺诈广告收入。记录显示,迪士尼、欧莱雅、Facebook、沃尔沃和Lyft等主要品牌的广告都曾被骗。Pixalate在6月份的一篇博客文章中透露了他们的发现,MegaCast很快就被从谷歌应用店移除。但Fly Apps宣称自己也是MegaCast的受害者,并承诺改进应用。
主要受益者
早在2015年,EverythingMe就已经是谷歌应用店中最有前途的安卓应用之一,累计下载量超过1000万次,筹集了超过3500万美元的风险投资。EverythingMe是个“启动器”,可以帮助组织应用程序和联系人,并根据用户使用手机的时间显示相关信息。但在2015年底,由于没有获得外部支持,开发它的公司宣布关闭。
一位不愿透露姓名的前高管透露,2016年,这款应用被悄悄出售,并在2017年初在推特上迅速活跃起来,同时推广下载链接。如今看来,EverythingMe被Fly Apps买下,并由安纳托担任其首席执行官。公司所有权记录证实,安纳托拥有Fly Apps 25%的股份。而MegaCast也是Fly Apps开发的应用,Pixalate发现它是整个广告骗局的核心。
BuzzFeed News还发现,在广告欺诈操作中,Fly Apps与许多卷入其中的其他公司、网站和应用程序之间存在密切联系。谷歌应用店中EverythingMe、Restaurant Finder以及MegaCast的页面上,都列出了Fly Apps使用的马耳他地址。同样的地址也出现在Mobilytics网站上,这家公司是Pixalate发现的最初欺诈事件的中心。有压倒性的证据表明,这些公司和其他相关公司只不过是欺诈者们为施行骗局而创建的空壳公司。