Смартфон работает на мошенников, пока вы спите. Похоже, ваш гаджет нашел себе сомнительную подработку

Смартфон лежит в кармане, экран погашен, владелец ничего не запускает, а устройство в этот момент зарабатывает деньги для мошенников. Специалисты из IAS Threat Lab раскрыли схему Genisys, которая превратила более 25 миллионов устройств в скрытую фабрику рекламного трафика.

Ранее команда уже описывала операцию Arcade, где мобильные приложения тайно открывали сайты во встроенном браузере и накручивали посещаемость. После публикации специалисты продолжили наблюдение и заметили новую инфраструктуру с иным поведением доменов и трафика. Так выявили отдельную сеть, получившую название Genisys.

Genisys встраивалась прямо в обычные приложения для Android. Программы запускали фоновую активность без ведома владельца, расходовали вычислительные ресурсы и интернет-трафик, а взамен не давали никакой пользы. Устройства подгружали сайты в скрытых окнах встроенного браузера, создавая видимость реальных переходов и показов рекламы.

Главное отличие Genisys от Arcade связано с сайтами. Если раньше мошенники использовали игровые и развлекательные страницы, то теперь почти 500 доменов создали с помощью генеративных инструментов на базе искусственного интеллекта. Сайты выглядели как блоги, новостные порталы или информационные ресурсы, но работали как конвейер по отмыванию трафика из приложений.

При массовом просмотре заметна однотипная структура, повторяющиеся шаблоны статей и минимальные различия в оформлении. Доменное имя меняется, логотип отличается, а остальная часть почти копирует соседние сайты. Генеративные инструменты позволяли быстро создавать новые площадки и регулярно менять адреса, обходя традиционные методы выявления.

Genisys дополнительно запутывала картину через подмену идентификаторов приложений. Трафик на мошеннические домены якобы приходил от сотен разных программ, в том числе с десятками и сотнями миллионов установок. Анализ показал, что такие данные не соответствуют реальности. Небольшая группа приложений генерировала скрытую активность, а поддельные идентификаторы создавали шум и мешали найти настоящий источник.

В схеме участвовали десятки приложений с разными названиями. Значительная часть программ маскировалась под утилиты для очистки памяти, PDF-читалки, фонарики, игры и сервисы для фитнеса. Многие разработчики уже фигурировали в прошлых нарушениях. После удаления одних приложений на площадке появлялись новые с похожим поведением.

Genisys быстро расширяла географию. В сентябре основная активность фиксировалась в Северной Америке, а к концу года трафик стабильно распределялся между странами Азиатско-Тихоокеанского региона, Латинской Америки и Европы, Ближнего Востока и Африки. Каждый месяц к списку добавлялись 2–3 новые страны, что указывает на целенаправленное масштабирование.

IAS Threat Lab передала данные компании Google. После проверки мошеннические версии приложений удалили из магазина Google Play. Система защиты Google Play Protect начала предупреждать владельцев устройств и автоматически отключать программы, связанные с Genisys, даже если пользователь установил программу из стороннего источника.

После блокировки объём рекламных запросов от затронутых приложений упал более чем на 95% и остался почти на нулевом уровне. Синхронное падение показало централизованный характер сети.

История Genisys демонстрирует новый этап в развитии крупномасштабного рекламного мошенничества. Вместо реальных сайтов злоумышленники строят синтетическую экосистему из сотен доменов, созданных с помощью искусственного интеллекта, а затем маскируют источник трафика под сотни популярных приложений. Пока площадки и разработчики не блокируют повторных нарушителей системно, подобные схемы будут возвращаться в обновлённом виде.