買下APP紀錄真實使用者行為再用機器人模仿，這家公司騙走數億美元廣告費

欺詐者購買多個Android App，然後將其所有權轉移給空殼公司。這些APP先記錄真實的使用者行為，然後用機器人進行大規模惖模仿，誇大資料量，然後從APP內支付廣告費用的公司那裡騙取數億美元的廣告收入。

美國新聞聚合網站Buzzfeed News最近發佈深度調查報告，揭露了一起規模龐大的數位廣告騙局，超過125款 Android App 和網站被捲入其中，致使數億美元的廣告收益被盜。

Buzzfeed News的報告顯示，去年4月份，史蒂文‧舍恩(Steven Schoen)收到自稱We Purchase Apps公司代表的電子郵件，宣稱想買他開發的 Android App Emoji Switcher。然而舍恩簡單調查發現，他幾乎無法確認這家公司是否真的存在。We Purchase Apps公司網站稱其總部位於紐約，但地址似乎是一棟住宅。他們的電話號碼歸屬地在英國還有其他幾個地方。

這一切都顯得有點兒怪異，但舍恩並不知道，自己的App最終會落入一個涉嫌詐欺數億美元的數位廣告騙局中。We Purchase Apps的報價比舍恩預期的更高，則促使他下定決心出售App。同樣的情況也發生在另外五位App開發者身上，他們稱將自己的App賣給了We Purchase Apps公司。

這些 App 被買走後，它們在Google Play上的頁面很快被修改，列出4家不同公司作為它們的開發者，它們的地址分別位於保加利亞、塞浦勒斯和俄羅斯，這讓人覺得這些 App 現在有了不同的所有者。但Buzzfeed News調查顯示，這些看似獨立的 App 和公司實際上都是一樁數位廣告騙局的一部分。

超過125款 Android App和網站捲入這場騙局中，詐欺者建立的前端和空殼公司遍佈塞浦勒斯、馬爾他、英屬維京群島、克羅地亞、保加利亞和其他地方。受影響的 App 中有十幾款是針對兒童或青少年的，有知情人士估計，該騙局已從許多App和網站竊取了數億美元廣告收益。

報告中指出，詐欺者透過前端公司從開發者那裡購買合法的 Android App ，然後將其所有權轉移給空殼公司。網路安全與詐欺檢測公司Protected Media分析顯示，這些App隨後會記錄人類使用者的行為，並編制龐大的聊天機器人網路來模仿這些行為。接著用真實的資料欺騙使用者，並從App內支付廣告費用的公司那裡獲得數億美元的廣告收入。

這意味著，數以百萬計下載了這些 App 的 Android 手機使用者被祕密追蹤。透過複製App內真實人類使用者的行為，詐欺者能夠產生繞過詐欺檢測系統的造假流量。

這是個非常聰明的系統，它將詐欺性網路流量隱藏於一般使用者資料旁邊，使任何反詐欺系統都難以檢測到它。

另一家詐欺檢測公司Pixalate今年6月首次披露了這場騙局的另一個問題。當時，該公司估計，單個行動App的詐欺行為每年可能產生7500萬美元廣告收入。在公佈調查結果後，Pixalate收到了一封匿名知情者的電子郵件，宣稱被盜的金額接近預估數字的10倍。他還表示，這項業務之所以如此有效，是因為它「與數位廣告領域中許多最大品牌合作，以確保廣告商和資金的持續流動。」

分析服務公司AppBrain的資料顯示，BuzzFeed News確認的 App 在 Android 手機上的安裝次數總計超過1.15億次。大部分都是遊戲，其他包括手電筒App、自拍App和健康飲食App。此次騙局涉及的EverythingMe，已經被安裝了2000多萬次。

App被收購後，它們會繼續獲得維護，以便吸引真正的人類使用者，以掩蓋其製造的假流量。這起騙局曝光表明，數位廣告生態系統中存在著非常嚴重的詐欺行為，品牌正損失巨額資金，而整個行業依然未能阻止這種行為。

App 度量公司AppsFlyer估計，僅今年第一季度，透過 App 被盜的資金就有7億至8億美元，同比增長30%。Pixalate對App內詐欺的最新分析發現，23%的行動 App廣告在某種程度上存在詐欺行為。總體而言，今年數位廣告詐欺者將竊取190億美元，而其他人認為實際數字可能需要增加2倍。

這個數位廣告騙局重點針對 Android App，部分原因在於其擁有龐大的使用者群體，以及Google Play的審查程序不如蘋果那樣嚴格。在這種情況下， Android App 被買賣，注入惡意程式碼，在使用者或Google不知情的情況下被重新使用，甚至變成了詐欺的媒介。

Google 已經意識到此事，並開始採取行動。Google 在部落格中指出，該公司已從Google Play及其廣告網路中刪除了涉及詐欺行為的 App 。Google 宣稱其去年刪除了70多萬個違反規定的 App ，還強調透過實施ads.txt等標準來打擊廣告詐欺的承諾。目前沒有證據表明，Google 或其他任何公司知道這類廣告詐欺行為。該公司估計，僅透過Google 廣告網路，廣告商在受影響網站和 App 中就被竊取了近1000萬美元。

此外，Google 不願透露，捲入騙局的任何 App 在更換所有權後，或出於任何其他原因，是否受到了後續審查。Pixalate首席技術長阿敏‧班德利（Amin Bandeali）表示，Google Play對App及其開發者的持續審查很少，這使得它們很容易成為騙子和其他壞人的攻擊目標。他稱:「App店可能無意中提供了一個途徑，將詐欺者與廣告買家和賣家聯繫起來。雖然這些App店提供客戶評論、下載數字和其他『質量』指標，但它們提供的服務卻很少，只能審查App公司的商業行為、技術和關係。」

為了確定這起數位廣告騙局的主要受益者，BuzzFeed News分析了We Purchase Apps公司的註冊記錄、域名所有權和域名系統資料、Google Play列表以及其他可公開獲取的訊息。分析顯示，這些 App 和網站與馬爾他公司Fly Apps有關。這家公司的所有者包括兩名以色列人歐默‧安納托(Omer Anatot)和麥可‧阿里‧伊隆(Michael Arie Iron)，以及兩名德國人托馬斯‧波澤爾特(Thomas Porzelt)和菲利克斯‧雷納爾(Felix Reinel)。

其中，安納托是EverythingMe公司的首席執行長，這是Fly Apps旗下同名流行App的開發者。安納托宣稱自己只負責管理EverythingMe，並將Pixalate發現的詐欺行為歸咎於他們合作過的AdNet Express公司。他說，他的公司向AdNet Express支付了費用，以委託其幫助擴大使用者基礎，任何詐欺都是這些合作夥伴的錯。

目前還不清楚AdNet Express是否是一家真正的公司。除了非常簡單的網站，它幾乎沒有任何在線資料，沒有地址或電話號碼，也沒有引用任何客戶或項目資料。該網站的域名所有權訊息列出個虛假的美國郵寄地址，以及虛假電子郵件地址，後者是通過Fake Mail Generator服務生成的。

同時，在BuzzFeed News聯繫安納托之後，很多與騙局有關的網站都顯示下線，幾家空殼公司的網站同時被凍結。Fly Apps否認與騙局中的App、網站或公司有聯繫。該公司產品受到很多人喜愛，擁有大量使用者。Fly Apps是一家聲譽卓著的App開發商，長期以來始終受到廣告合作夥伴和廣告驗證公司的支持。

偽造假流量

要想為這場騙局製造令人信服的假流量，第一步就是獲得人類使用者使用的 Android App 。詐欺者會研究使用者的行為，然後創建聊天機器人（自動化電腦程式）模仿這種行為。這些機器人被加載到包含專門軟體的伺服器上，這些軟體使機器人能夠在特定的 App 中產生流量。

聊天機器人使用虛擬網路瀏覽器訪問被捲入詐欺案中的網站，幫助這些流量偽裝成人類使用者的瀏覽行為。此後，假流量會產生廣告瀏覽量，而廣告瀏覽量又會帶來收入。將真人和機器人混合起來，有助於騙過那些用來檢測假流量的系統，因為真實流量和假流量看起來幾乎完全相同。顯然，策劃這場騙局的人既熟悉廣告技術行業，也熟悉檢測廣告詐欺的主流資料科學方法。

安納托之前經營著名為Install Labs LTD的公司，主要業務是將惡意軟體和其他軟體分類為「潛在不受歡迎程式」(PUP)，因為它們給使用者帶來了挫敗感，並且經常在未經允許的情況下安裝其他程序。安納托也是Montiera的投資者，這家公司也是開發歸類PUP軟體的公司。與騙局中的 App 和網站一樣，這些小型 App 依賴數位廣告創造收入。

波澤爾特和雷納爾之前經營著名為hostimpact.de的主機託管和伺服器管理公司，他們擁有廣告和伺服器管理經驗，這是這場騙局中所必需的。目前還不清楚伊隆之前從事什麼工作，但他是一家塞爾維亞公司的股東，該公司為 Android 和其他網路產品開發行動 App。

騙局浮出水面

今年夏天，Pixalate的資料科學家在名為MegaCast的 Android App 中發現了許多令人擔憂的內容，騙局開始浮現出水面。MegaCast的賣點在於，它可以讓使用者在串流媒體設備上播放任何影片，無論何種格式。Pixalate發現，MegaCast有時會顯示其他 App 的唯一ID，以吸引廣告競價。這意味著，廣告買家會認為，他們是在更受歡迎的EverythingMe App 中購買的廣告，而實際上廣告只出現在MegaCast中。

Pixalate發現大約有60個 App 受到MegaCast欺騙，估計這個騙局每年可以產生7500萬美元的詐欺廣告收入。記錄顯示，迪士尼、歐萊雅、Facebook、Volvo和Lyft等主要品牌的廣告都曾被騙。Pixalate在6月份的一篇部落客文章中透露了他們的發現，MegaCast很快就被從Google Play移除。但Fly Apps宣稱自己也是MegaCast的受害者，並承諾改進App。

主要受益者

早在2015年，EverythingMe就已經是Google Play中最有前途的 Android App之一，累計下載量超過1000萬次，籌集了超過3500萬美元的風險投資。EverythingMe是個「啟動器」，可以幫助組織 App 和聯繫人，並根據使用者使用手機的時間顯示相關訊息。但在2015年底，由於沒有獲得外部支援，開發它的公司宣佈關閉。

一位不願透露姓名的前高階主管透露，2016年，這款App被悄悄出售，並在2017年初在推特上迅速活躍起來，同時推廣下載連結。如今看來，EverythingMe被Fly Apps買下，並由安納托擔任其首席執行長。公司所有權記錄證實，安納托擁有Fly Apps 25%的股份。而MegaCast也是Fly Apps開發的App，Pixalate發現它是整個廣告騙局的核心。

BuzzFeed News還發現，在廣告詐欺操作中，Fly Apps與許多捲入其中的其他公司、網站和 App 之間存在密切聯繫。Google Play中EverythingMe、Restaurant Finder以及MegaCast的頁面上，都列出了Fly Apps使用的馬爾他地址。同樣的地址也出現在Mobilytics網站上，這家公司是Pixalate發現的最初詐欺事件的中心。有壓倒性的證據表明，這些公司和其他相關公司只不過是詐欺者們為施行騙局而創建的空殼公司。