Фрод в мобильных приложениях: как его вычислить, чтобы не слить бюджет продвижения

Фрод (от английского — fraud, «обман») в сфере приложений — вид мошенничества, когда ботов и купленных пользователей выдают за реальную аудиторию. Фродом могут заниматься недобросовестные маркетинговые агентства, веб-мастеры, рекламные площадки и агрегаторы, чтобы создать видимость эффективного продвижения и получить деньги от заказчика.

Adsup.me рассказывает, как определить фрод, распознать мошенников и не потерять деньги. Статья будет полезна разработчикам, которые заказывают продвижение приложений у подрядчиков, а также пользователям, которые не хотят стать случайными участниками фрода.

По оценке аналитической платформы AppsFlyer, в 2021 году мировой ущерб от фрода в мобильных приложениях достиг 2,1 миллиарда долларов. При этом доля фродовых установок на Android-устройства составила 12%, на iOS — 7%.

Аналитики посчитали и количество фродовых установок в каждой из популярных категорий приложений:

Общую долю фродовых установок в России в 2021 году AppsFlyer оценили в 8%. По сравнению с другими странами, это не так много — меньше только в Германии и США. Однако это может быть связано с тем, что в России меньше отслеживают этот вид мошенничества: он остаётся незамеченным, а значит, не попадает в статистику.

Для сравнения, доля фродовых установок в других регионах:

Исследование показало, что фрода в мире стало меньше: 11% от всех установок в 2021 году против 13% в 2020 году, но AppsFlyer считает причиной такой динамики то, что жертв стали подбирать внимательнее.

Чтобы определить лёгкую добычу, мошенники:

Холд — отсрочка оплаты, чтобы оценить эффективность после продвижения

То, что мошенники стали внимательнее, подтверждает и число гайдов по фроду в сети. Мы провели эксперимент: ввели в Google запрос с ключевыми словами по теме. (Точную формулировку запроса опустим — мы против фрода, поэтому не рассказываем, как искать мошеннические схемы.) В итоге 10% ссылок с первой страницы результатов поиска вели на руководства для мошенников. Повторили эксперимент в Яндексе — гайдами по фроду оказались 13% результатов.

Для обмана мошенники используют различные инструменты — от несложных ботов до вредоносного ПО — и даже привлекают к обману реальных людей.

Разберём виды фрода, которые встречаются в сфере мобильных приложений.

Клик-боты имитируют нажатие пользователя по рекламе. Они представляют собой программы на устройстве злоумышленника, которые заходят на сайты или в приложения, где есть реклама, переходят по ней и действительно устанавливают приложение. Так накручиваются клики и установки, но реальная, интересующаяся приложением аудитория не растёт.

Боты бывают разной структуры — попроще и посложнее. Боты с простой структурой открывают страницу приложения и сразу устанавливают его.

Программы со сложной структурой лучше имитируют поведение человека, поэтому их не так просто вычислить. Прежде чем скачать приложение, реальный пользователь читает описание, смотрит скриншоты интерфейса, изучает отзывы. Вот и боты посложнее открывают страницу и задерживаются на ней на пару минут — будто это человек думает, стоит ли ему устанавливать приложение. Когда заказчик посмотрит статистику, он не заметит ничего подозрительного в таких действиях.

Встречаются целые фермы для накрутки показателей. Один из самых громких случаев произошёл в 2017 году в Таиланде: полиция задержала трёх фродеров, которые использовали 474 смартфона и 347 200 SIM-карт для имитации поведения пользователей.

Часто сложных ботов используют в политике. Их выдают за пользователей соцсетей, чтобы влиять на общественность. Боты массово пишут посты, лайкают и репостят, а у реальных пользователей складывается ложное представление о мнении большинства.

Накрутка показов — это когда одно объявление размещают поверх другого, чтобы зарегистрировать больше показов. Чтобы лучше понять схему, можно представить слоёный пирог. Если человека спросят, что он видит, он ответит «пирог». Но на самом деле ему видно только верхний слой.

Так же и система атрибуции считает, что пользователь видит все объявления, которые поместили друг на друга — как слои в пироге. Она засчитывает все показы. Пользователь же видит только верхнее объявление. За показы всех остальных заказчик платит без результата.

Чтобы получить фейковые просмотры, фродеры также сжимают объявления до пикселя. Реклама становится такой крохотной, что не видна пользователю, и мошенники размещают множество объявлений рядом друг с другом или поверх другой рекламы.

Другой вариант: фродеры запускают рекламу в отдельном браузере в фоновом режиме — пользователь её также не видит, а показы засчитываются. Мошенники могут крутить рекламу целыми сутками и быстро сливать бюджет.

В 2020 году появился вирус Terracota — он устанавливал на смартфоны браузер, в котором в фоновом режиме показывалась реклама. Вредоносный код спрятали в нескольких десятках приложений в Google Play. По оценкекомпании White Ops, прежде чем приложения удалили из магазина, их успели установить 94 тысячи раз. В общей сложности пользователи якобы просматривали 2 миллиарда объявлений в неделю.

Чтобы организовать перехват трафика, мошенники создают несложные приложения, вроде таймера или планеров, и заражают их вирусом. Пользователи скачивают их через магазины приложений, вирус поселяется на смартфонах и откуда следит за действиями их владельцев.

Допустим, пользователю приложение посоветовал друг, реклама тут ни при чём — но вирус фабрикует ложные данные и передаёт их системе атрибуции. Она засчитывает установку как результат кампании — так мошенники выдают действия органического трафика за результат своей работы. А заказчик платит за трафик, который получил бы в любом случае.

Мотивированный трафик — пользователи, которые совершают действия в обмен на вознаграждение — от денег до бонусов в мобильных играх. Они могут кликнуть по рекламе, установить приложение, пройти уровень в игре или совершить другие действия по просьбе рекламодателя или его исполнителя.

Мотивированный трафик используют как инструмент продвижения — он помогает выйти в топ и удерживать позиции. Однако, когда вознаграждение не связано с рекламируемым приложением — например, это бонусы в приложении партнёра или деньги — пользователи могут удалить приложение после получения награды.

Использовать мотивированный трафик или нет — решение заказчика продвижения. Инструмент считается мошенническим, когда исполнитель привлекает его без согласия заказчика. Приложение получает не тот трафик, который ожидалось, и это разрушает стратегию продвижения. Пользователи же не получают обещанную награду от фродеров, а это негативно влияет на репутацию приложения.

Подделка инструментов для разработчика (SDK, от английского — software development kit, «набор для разработки программного обеспечения») — готовых фрагментов кода, которые можно вставить в разрабатываемое приложение. Их распространяют через открытые или платные библиотеки.

Мошенники создают инструмент, внедряют в него вредоносный код и добавляют в библиотеки. Разработчик использует SDK и распространяет своё приложение, не подозревая, что в нём вирус.

Мошенничество с SDK распространено в финансовой сфере. Вредоносный код собирает данные для доступа к денежным средствам пользователя и передаёт злоумышленнику. Например, в 2018 году в библиотеке EventStream нашли код, который передавал данные криптокошельков Copay. Его добавил пользователь, который втёрся в доверие автора проекта и получил контроль над EventStream.

Подделку SDK используют и для обмана заказчиков продвижения. На смартфонах прячется вирус, который отправляет ложные сигналы о продвижении приложения. Система засчитывает клики, установки и другие действия, которых на самом деле нет. Бюджет расходуется впустую.

Прежде всего, заказчик ставит цель кампании — например, получить конкретное число установок приложения — и определяет рекламный бюджет. Важно чётко определить цель, чтобы правильно оценить качество трафика.

Специалист по продвижению создаёт объявления, размещает их в разных каналах — сайты, соцсети, приложения, рекламные сети. Объявления могут показываться на первых строчках поисковика, в ленте, в виде баннеров в приложениях и так далее.

На каждой рекламной площадке объявления выглядят по-разному. Владелец источника берёт плату за то, что предоставляет площадку для объявлений. Эти деньги вычитаются из бюджета.

Следить за эффективностью кампании удобно в трекере — программе, которая показывает статистику продвижения и служит системой атрибуции — отслеживает, каких пользователей привели объявления, чтобы отличить рекламный трафик от органического. Органический трафик — это пользователи, которые нашли приложение самостоятельно, то есть, их действия не считаются результатом продвижения.

Кампания закончится, когда израсходуется бюджет — или когда её потребует остановить заказчик.

Важную роль в длительности сотрудничества играет холд — временной период, в течение которого заказчик придерживает оплату после завершения кампании — чтобы успеть оценить её эффективность. Холд обговаривают с заказчиком и прописывают в печатном или электронном договоре.

Во время холда наблюдают, как ведут себя пользователи — не удалили ли они приложение, заходят ли в него и как часто. Наиболее безопасный период — около 30 дней. Этого времени достаточно, чтобы оценить качество трафика и выявить фрод.

Не все удалившие приложение — это фрод. Часть ушедшего трафика можно списать на то, что приложение не понравилось — вкусы у людей разные. Этот момент можно отследить с помощью Retention Rate — показателя того, как часто пользователи возвращаются в приложение после установки. Он рассчитывается как отношение разницы между новыми пользователями и пользователями на конец отчётного периода к числу пользователей на начало отчётного периода.

Retention Rate зависит от категории приложения и его специфики. Одними приложениями — например, для доставки еды — могут пользоваться ежедневно, другими — к примеру, для покупки авиабилетов — реже.

По нашему опыту, Retention Rate, близкий к нулю — нереален. Если пользователи установили приложение, оно чем-то им полезно или интересно. Выглядит неправдоподобно, когда все установившие разочаровались настолько, чтобы удалить приложение. Низкий Retention Rate говорит о фроде или о том, что объявления создают у пользователей неправильные ожидания от приложения.

Платите за сложные действия. Например, установки или действия в приложении — от прохождения туториала до достижения определённого уровня. Клики и просмотры легко имитируют.

Попробуйте договориться со специалистом о 30-дневном холде. Это оптимальное время, чтобы понаблюдать за трафиком.

Чтобы заметить обман вовремя, регулярно проверяйте кампанию. Исходя из своей цели, определите для себя объём действий, по достижении которого будете проводить очередную проверку. Например, если ваша цель — 1 000 скачиваний приложения, изучайте показатели по достижении каждых 100 установок.

Иногда, чтобы заметить фрод, хватает здравого смысла. Если множество пользователей скачивают приложение в одну и ту же минуту, как по команде, а в другое время интереса к нему не проявляют — это, скорее всего, боты.

Антифрод-системы — программы, которые распознают мошеннический трафик. Их используют в рекламных сетях Google и Яндекса, а также часто встраивают в трекеры рекламных кампаний, например: AppsFlyer, Adjust, myTracker, AppMetrica.

Антифрод-системы анализируют набор параметров — от геопозиции до операционной системы, находят подозрительные источники трафика и блокируют их.

Например, Яндекс Директ анализирует 250 характеристик — от географии до времени суток. Также проводится офлайновый анализ — алгоритм составляет график поведения пользователей и сравнивает с нормой. Так система выявляет виды фрода, которые сложно заметить, — ботов, которые имитируют поведение человека. Как это работает, Яндекс не раскрывает — чтобы мошенникам было сложнее учиться.

Иногда алгоритмы сбоят, и антифрод-система блокирует нормальные источники как подозрительные. Или пользователи быстро бросают приложение из-за какого-нибудь глюка в нём — а не из-за того, что это боты или мотивированный трафик. Тогда сложнее понять, действительно ли это фрод.

На мошенников укажут следующие признаки:

Лучше не рисковать и блокировать подозрительные источники трафика. Если возникло несоответствие или антифрод-система отметила источник трафика как потенциально фродовый — стоит его отключить.

Если уверены, что столкнулись с фродом — расскажите о ситуации деловым партнёрам, опишите её на форумах. Хотя фродер может поменять IP-адрес и Device ID, это лучше, чем ничего.

Изучить чёрные списки. Их публикуют на форумах предпринимателей, разработчиков. Вводим в поисковик «форумы рекламодателей арбитраж» и выбираем. Хотя мошенники часто меняют названия своих компаний и никнеймы, всё же чёрные списки могут помочь.

Просмотреть сайт потенциального исполнителя. На нём размещают кейсы и список клиентов, с которыми можно связаться и спросить, как прошло сотрудничество. Если эти компании отрицают, что работали с агентством, или отзываются негативно, — это настораживает.

Спросить деловых партнёров. Возможно, у вас есть знакомые, которые уже продвигали приложения. Можно узнать, с какими специалистами они работали и как всё прошло.

Платить за установки или действия в приложении — показы или клики легко подделать.

Определить комфортный холд — безопаснее, если он будет длиться около 30 дней. За это время можно оценить качество трафика.

Следить за показателями. Будет безопаснее, если анализировать кампанию по частям в ходе продвижения.

Обязательно использовать антифрод-систему. Она может быть частью трекера, в котором отслеживается продвижение, и защитит от тех видов мошенничества, которые сложно заметить. Для этого алгоритмы мониторят и анализируют сотни параметров.

Продвигайтесь эффективно и безопасно!