Эксперты Google AdSense выявили крупный ботнет, накручивавший показы и скликивавший рекламу Google Ads в автоматическом режиме. Боты для накрутки показов и скликивания рекламы также использовались для скрытых просмотры стримов Twitch и генерации фальшивых лайков и просмотров на платформе видеохостинга YouTube.
Исследователи пишут, что основными целями этого бота скликивания рекламы и накрутки показов являются такие браузеры, как Google Chrome, Mozilla Firefox и Яндекс.Браузер, работающие на Windows-машинах. Именно они образовали костяк ботнета скликивания рекламы. Сообщается, что только за последние три месяца через этот ботнет прошло более 1 млрд рекламных объявлений. При средней цене за 1000 показов объявлений в $1 прибыль владельцев рекламного бота могла составить не менее $1.000.000 за весь активный период.
Снаряжение и прогрузка бота на целевой машине или смартфоне начиналась как обычно с использования модуля Installer, который устанавливал и конфигурировал скликивающее расширение для браузера, а также обеспечивал постоянное присутствие в системе, создавая запланированную задачу, так рекламный бот притворялся сервисом Windows Update.
Другой модуль рекламного бота, Finder, начнал собирать в заряженой системе файлы cookie и учетные данные, отправляя их своим операторам в формате ZIP-архивов. Также этот модуль поддерживал связь со вторичным управляющим сервером, который передавал команды заряженой системе и сообщал, с какой периодичностью нужно собирать и отправлять на командный сервер данные из заряженых систем.
Третий модуль, Patcher, использовался в ранней версии ботнета для установки расширения скликивания и накрутки рекламы, но в последних версиях уже был включен в состав модуля Installer.
После успешной компрометации браузера, расширение немедленно приступит к работе, начнет внедрять рекламу на сайты и генерировать скрытый для пользователя трафик, к примеру, будет в фоновом режиме «смотреть» стримы Twitch или лайкать видео на платформе YouTube.
«В основном функционал ботнета связан со накруткой показов и скликиванием рекламных объявлений и включает в себя скрипты, которые искали и подменяли связанный с рекламой код на веб-страницах, но также рекламный бот содержал код и для отслеживания информации о кликах и передачи других данных на управляющие серверы», — пишут эксперты Google AdSense.
Интересно, что внедрение рекламы происходило не на всех сайтах, которые посещает владелец заряженного компьютера или смартфона. Так, рекламный бот имел обширные «черные списки», в которые входили домены Google, различные российские ресурсы и порно-сайты.
По информации Google adWare, данная кампания по скликиванию контекстной рекламы и накрутки времени просмотра видеохостинга YouTube в основном была сосредоточена на нескольких странах постсоветского пространства, включая Россию, Украину и Казахстан, однако после отключения монетизации платформы видеохостинга YouTube в России, активность adWare бота сместилась на демократичные и цивилизованные страны Евросоюза.