10月24日消息，美國新聞聚合網(wǎng)站Buzzfeed News最近發(fā)布深度調(diào)查報告，曝光了一起規(guī)模龐大的數(shù)字廣告騙局，超過125款安卓應用程序和網(wǎng)站被卷入其中，致使數(shù)億美元的廣告收益被盜。

　　Buzzfeed News的報告顯示，去年4月份，史蒂文·舍恩(Steven Schoen)收到自稱We Purchase Apps公司代表的電子郵件，宣稱想買他開發(fā)的安卓應用程序Emoji Switcher。然而舍恩簡單調(diào)查發(fā)現(xiàn)，他幾乎無法確認這家公司是否真的存在。We Purchase Apps公司網(wǎng)站稱其總部位于紐約，但地址似乎是一棟住宅。他們的電話號碼歸屬地在英國還有其他幾個地方。

　　這一切都顯得有點兒怪異，但舍恩沒有意識到，自己的應用最終會落入一個涉嫌欺詐數(shù)億美元的數(shù)字廣告騙局中。We Purchase Apps的報價比舍恩預期的更高，則促使他下定決心出售應用。同樣的情況也發(fā)生在另外五位應用開發(fā)者身上，他們稱將自己的應用賣給了We Purchase Apps公司。

　　在被買走后，這些應用程序在谷歌應用店Google Play上的頁面很快被修改，列出了4家不同公司作為它們的開發(fā)者，它們的地址分別位于保加利亞、塞浦路斯和俄羅斯，這讓人覺得這些應用程序現(xiàn)在有了不同的所有者。但Buzzfeed News調(diào)查顯示，這些看似獨立的應用程序和公司實際上都是一起數(shù)字廣告騙局的一部分。

　　超過125款安卓應用和網(wǎng)站卷入這場騙局中，欺詐者建立的前端和空殼公司遍布塞浦路斯、馬耳他、英屬維爾京群島、克羅地亞、保加利亞和其他地方。受影響的應用程序中有十幾款是針對兒童或青少年的，有知情人士估計，該騙局已從許多應用和網(wǎng)站竊取了數(shù)億美元廣告收益。

　　報告中指出，欺詐者通過前端公司從開發(fā)者那里購買合法的安卓應用程序，然后將其所有權(quán)轉(zhuǎn)移給繼續(xù)管理該應用的空殼公司。網(wǎng)絡安全與欺詐檢測公司Protected Media分析顯示，這些應用隨后會捕捉人類用戶的行為，并編制龐大的聊天機器人網(wǎng)絡來模仿這些行為。接著用真實的數(shù)據(jù)欺騙用戶，并從應用內(nèi)支付廣告費用的公司那里獲得了數(shù)億美元的廣告收入。

　　這意味著，數(shù)以百萬計下載了這些應用程序的安卓手機用戶被秘密追蹤。通過復制應用內(nèi)真實人類用戶的行為，欺詐者能夠產(chǎn)生繞過欺詐檢測系統(tǒng)的虛假流量。這是個非常聰明的系統(tǒng)，它用欺詐性網(wǎng)絡流量隱藏于常規(guī)用戶數(shù)據(jù)旁邊，使任何反欺詐系統(tǒng)都難以檢測到它。

　　另一家欺詐檢測公司Pixalate今年6月首次披露了這場騙局的另一個要素。當時，該公司估計，單個移動應用的欺詐行為每年可能產(chǎn)生7500萬美元廣告收入。在公布調(diào)查結(jié)果后，Pixalate收到了一封匿名知情者的電子郵件，宣稱被盜的金額接近預估數(shù)字的10倍。他還表示，這項業(yè)務之所以如此有效，是因為它“與數(shù)字廣告領域中許多最大品牌合作，以確保廣告商和資金的持續(xù)流動。”

　　分析服務公司AppBrain的數(shù)據(jù)顯示，BuzzFeed News確認的應用程序在安卓手機上的安裝次數(shù)總計超過1.15億次。大部分都是游戲，其他包括手電筒應用、自拍應用和健康飲食應用。此次騙局涉及的EverythingMe，已經(jīng)被安裝了2000多萬次。

　　應用被收購后，它們會繼續(xù)獲得維護，以便讓真正的人類用戶感到滿意，并創(chuàng)造出欣欣向榮的假象，以掩蓋其制造的虛假流量。這些應用程序還在多家空殼公司之間轉(zhuǎn)換，以分配利潤，并隱瞞運營規(guī)模。這起騙局曝光表明，數(shù)字廣告生態(tài)系統(tǒng)中存在著非常嚴重的欺詐行為，品牌正損失巨額資金，而整個行業(yè)依然未能阻止這種行為。

　　應用程序度量公司AppsFlyer估計，僅今年第一季度，通過應用程序被盜的資金就有7億至8億美元，同比增長30%。Pixalate對應用內(nèi)欺詐的最新分析發(fā)現(xiàn)，23%的移動應用廣告在某種程度上存在欺詐行為�？傮w而言，Juniper Research估計，今年數(shù)字廣告欺詐者將竊取190億美元，而其他人認為實際數(shù)字可能需要增加2倍。

　　這個數(shù)字廣告騙局重點正對安卓應用，部分原因在于其擁有龐大的用戶群體，以及谷歌應用店的審查程序不如蘋果那樣嚴格。在這種情況下，安卓應用程序被買賣，注入惡意代碼，在用戶或谷歌不知情的情況下被重新使用，甚至變成了欺詐的引擎。

　　谷歌已經(jīng)意識到此事，并開始采取行動。谷歌在博文中指出，該公司已從應用店及其廣告網(wǎng)絡中刪除了涉及欺詐行為的應用程序。谷歌宣稱其去年刪除了70多萬個違反規(guī)定的應用程序，還強調(diào)通過實施ads.txt等標準來打擊廣告欺詐的承諾。目前沒有證據(jù)表明，谷歌或其他任何公司知道這類廣告欺詐行為。該公司估計，僅通過谷歌廣告網(wǎng)絡，廣告商在受影響網(wǎng)站和應用程序中就被竊取了近1000萬美元。

　　此外，谷歌不愿透露，卷入騙局的任何應用程序在更換所有權(quán)后，或出于任何其他原因，是否受到了后續(xù)審查。Pixalate首席技術官阿敏·班德利(Amin Bandeali)表示，谷歌應用店對應用及其開發(fā)者的持續(xù)審查很少，這使得它們很容易成為騙子和其他壞人的攻擊目標。他稱:“應用店可能無意中提供了一個途徑，將欺詐者與廣告買家和賣家聯(lián)系起來。雖然這些應用店提供客戶評論、下載數(shù)字和其他‘質(zhì)量’指標，但它們提供的服務卻很少，只能審查應用公司的商業(yè)行為、技術和關系。”

　　為了確定這起數(shù)字廣告騙局的主要受益者，BuzzFeed News分析了We Purchase Apps公司的注冊記錄、域名所有權(quán)和域名系統(tǒng)數(shù)據(jù)、谷歌應用店列表以及其他可公開獲取的信息。分析顯示，這些應用程序和網(wǎng)站與馬耳他公司Fly Apps有關。這家公司的所有者包括兩名以色列人歐默·安納托(Omer Anatot)和邁克爾·阿里·伊隆(Michael Arie Iron)，以及兩名德國人托馬斯·波澤爾特(Thomas Porzelt)和菲利克斯·雷納爾(Felix Reinel)。

　　其中，安納托是EverythingMe公司的首席執(zhí)行官，這是Fly Apps旗下非常流行的應用。安納托宣稱自己只負責管理EverythingMe，并將Pixalate發(fā)現(xiàn)的欺詐行為歸咎于他們合作過的AdNet Express公司。他說，他的公司向AdNet Express支付了費用，以委托其幫助擴大用戶基礎，任何欺詐都是這些合作伙伴的錯。

　　目前還不清楚AdNet Express是否是一家真正的公司。除了非常簡單的網(wǎng)站，它幾乎沒有任何在線資料，沒有地址或電話號碼，也沒有引用任何客戶或項目資料。該網(wǎng)站的域名所有權(quán)信息列出個虛假的美國郵寄地址，以及虛假電子郵件地址，后者是通過Fake Mail Generator服務生成的。

　　同時，在BuzzFeed News聯(lián)系安納托之后，很多與騙局有關的網(wǎng)站都顯示下線，幾家空殼公司的網(wǎng)站同時被凍結(jié)。Fly Apps否認與騙局中的應用、網(wǎng)站或公司有聯(lián)系。該公司產(chǎn)品受到很多人喜愛，擁有大量用戶。Fly Apps是一家聲譽卓著的應用開發(fā)商，長期以來始終受到廣告合作伙伴和廣告驗證公司的支持。

　　如何偽造虛假流量？

　　要想為這場騙局制造令人信服的虛假流量，第一步就是獲得人類用戶使用的安卓應用程序。欺詐者研究用戶的行為，然后創(chuàng)建聊天機器人(自動化計算機程序)模仿同樣的行為。這些機器人被加載到包含專門軟件的服務器上，這些軟件使機器人能夠在特定的應用程序中生成流量。

　　聊天機器人使用虛擬網(wǎng)絡瀏覽器訪問被卷入欺詐案中的網(wǎng)站，以幫助將這些流量偽裝成人類用戶。此后，虛假流量會產(chǎn)生廣告瀏覽量，而廣告瀏覽量又會帶來收入。將真人和機器人混合起來，有助于騙過那些用來檢測虛假流量的系統(tǒng)，因為真實流量和虛假流量看起來幾乎完全相同。顯然，策劃這場騙局的人既熟悉廣告技術行業(yè)，也熟悉檢測廣告欺詐的主流數(shù)據(jù)科學方法。

　　安納托之前經(jīng)營著名為Install Labs LTD的公司，主要業(yè)務是將惡意軟件和其他軟件分類為“潛在不受歡迎程序”(PUP)，因為它們給用戶帶來了挫敗感，并且經(jīng)常在未經(jīng)允許的情況下安裝其他程序。安納托也是Montiera的投資者，這家公司也是開發(fā)歸類PUP軟件的公司。與騙局中的應用程序和網(wǎng)站一樣，這些小型應用程序依賴數(shù)字廣告創(chuàng)造收入。

　　波澤爾特和雷納爾之前經(jīng)營著名為hostimpact.de的主機托管和服務器管理公司，他們擁有廣告和服務器管理經(jīng)驗，是這場騙局中所必需的。目前還不清楚伊隆之前從事什么工作，但他是一家塞爾維亞公司的股東，該公司為安卓和其他網(wǎng)絡產(chǎn)品開發(fā)移動應用。

　　騙局是如何被發(fā)現(xiàn)的？

　　今年夏天，Pixalate的數(shù)據(jù)科學家在名為MegaCast的安卓應用程序中發(fā)現(xiàn)了許多令人擔憂的東西，騙局開始浮現(xiàn)出水面。MegaCast的賣點在于，它可以讓用戶在流媒體設備上播放任何視頻，無論何種格式。Pixalate發(fā)現(xiàn)，MegaCast有時會顯示其他應用程序的唯一ID，以吸引廣告競價。這意味著，廣告買家認為，他們是在更受歡迎的EverythingMe應用程序中購買廣告，而實際上他們是在MegaCast中出現(xiàn)的。

　　Pixalate發(fā)現(xiàn)大約有60個應用程序受到MegaCast的欺騙，估計這個騙局每年可以產(chǎn)生7500萬美元的欺詐廣告收入。記錄顯示，迪士尼、歐萊雅、Facebook、沃爾沃和Lyft等主要品牌的廣告都曾被欺騙性地展示。Pixalate在6月份的一篇博客文章中透露了他們的發(fā)現(xiàn)，MegaCast很快就被從谷歌應用店移除。Fly Apps宣稱自己也是MegaCast的受害者，并承諾改進應用。

　　在Pixalate公布調(diào)查結(jié)果后不久，有參與騙局的知情人士宣稱要公布內(nèi)幕，以充分揭露這起欺詐案件，并揭示了其龐大規(guī)模。此后，BuzzFeed News開始展開調(diào)查更多細節(jié)，并得出驚人結(jié)論：這些應用程序并不是龐大騙局的受害者，而是相互關聯(lián)的，因此也是騙局的一部分。Protect Media隨后發(fā)現(xiàn)了由聊天機器人產(chǎn)生的虛假流量，這也證實了消息來源的可信性。

　　主要受益者

　　早在2015年，EverythingMe就已經(jīng)成為谷歌應用店中最有前途的安卓應用之一，累計下載量超過1000萬人次，籌集了超過3500萬美元的風險投資。EverythingMe是個“啟動器”，可以幫助組織應用程序和聯(lián)系人，并根據(jù)你使用手機的時間顯示相關信息。但在2015年底，由于沒有獲得支持，創(chuàng)建它的公司宣布關閉。

　　一位不愿透露姓名的前高管透露，2016年，這款應用被悄悄賣給了新所有者，并在2017年初在推特上迅速活躍起來，同時推廣下載鏈接。如今看來，EverythingMe被Fly Apps所有，安納托擔任其首席執(zhí)行官。公司所有權(quán)記錄證實，安納托擁有Fly Apps 25%的股份。而MegaCast正是Fly Apps開發(fā)的應用，Pixalate發(fā)現(xiàn)它是整個騙局的中心。

　　BuzzFeed News還發(fā)現(xiàn)，在廣告欺詐操作中，F(xiàn)ly Apps與許多卷入其中的其他公司、網(wǎng)站和應用程序之間存在密切聯(lián)系。谷歌應用店中EverythingMe、Restaurant Finder以及MegaCast頁面上，都列出了Fly Apps使用的馬耳他地址。同樣的地址也出現(xiàn)在Mobilytics網(wǎng)站上，這家公司是Pixalate發(fā)現(xiàn)的最初欺詐事件的中心。有壓倒性的證據(jù)表明，這些公司和其他相關公司只不過是為了安納托等人執(zhí)行騙局而創(chuàng)建的空殼公司。