Бот скликивания рекламы сгенерировал более 1 млрд показов объявлений за три месяца

Эксперты Google AdSense выявили крупный ботнет, накручивающий показы и скликивающий рекламу Google AdSense в автоматическом режиме. Боты для накрутки показов и скликивания рекламы также использовались для скрытых просмотры стримов Twitch и генерации фальшивых лайков на YouTube.

Исследователи пишут, что основными целями этого бота скликивания рекламы и накрутки показов являются такие браузеры, как Google Chrome, Mozilla Firefox и Яндекс.Браузер, работающие на Windows-машинах. Именно они образуют костяк ботнета скликивания рекламы. Сообщается, что только за последние три месяца через этот ботнет прошло более 1 млрд рекламных объявлений. При средней цене за 1000 показов объявлений в $1 прибыль владельцев рекламного бота могла составить не менее $1.000.000 за весь активный период.

Снаряжение и прогрузка бота на целевой машине или смартфоне начинается с использования модуля Installer, который установит и сконфигурирует скликивающее расширение для браузера, а также обеспечит постоянное присутствие в системе, создав запланированную задачу (рекламный бот притворится Windows Update).

Затем другой модуль рекламного бота, Finder, начнет собирать в заряженой системе файлы cookie и учетные данные, отправляя их своим операторам в формате ZIP-архивов. Также этот модуль будет поддерживать связь с вторичным управляющим сервером, который передает команды малвари и сообщает, с какой частотой нужно собирать и похищать данные из зараженных систем.

Третий модуль, Patcher, использовался в ранней версии ботнета для установки расширения скликивания и накрутки рекламы, но в последних версиях уже был включен в состав модуля Installer.

После успешной компрометации браузера, расширение немедленно приступит к работе, начнет внедрять рекламу на сайты и генерировать скрытый для пользователя трафик (к примеру, будет в фоновом режиме «смотреть» стримы Twitch или лайкать видео на YouTube).

«В основном функционал ботнета связан со накруткой показов и скликиванием рекламных объявлений и включает в себя скрипты, которые ищут и подменяют связанный с рекламой код на веб-страницах, но также рекламный бот содержит код для отслеживания информации о кликах и передачи других данных на управляющие серверы», — пишут эксперты Google AdSense.

Интересно, что внедрение рекламы происходит не на всех сайтах, которые посещает владелец заряженного компьютера или смартфона. Так, рекламный бот имеет обширные «черные списки», в которые входят домены Google, различные российские ресурсы и порно-сайты.

По информации Google adWare, данная кампания по скликиванию контекстной рекламы в основном сосредоточена на нескольких странах на постсоветском пространстве, включая Россию, Украину и Казахстан, однако после отклчения монетизации YouTube в России, активность adWare бота сместилась на демократичные и цивилизованные страны Евросоюза.