Эксперты из Fraud Lab компании DoubleVerify обнаружили новую мошенническую схему, которая проникает на мобильные устройства пользователей. Она использует безобидные на первый взгляд iOS-приложения для игр, чтобы взимать плату с рекламодателей за фиктивные рекламные показы.
Эта схема, названная нашими специалистами SkyWalk, управляется независимыми киберпреступниками с использованием общего фреймворка UniSkyWalking. Она отличается высоким уровнем сложности, слаженностью и труднодетектируемостью. Мы обнаружили её, заметив ряд приложений с аномально высокими показателями показов и неадекватным поведением кликов.
Механизм работы схемы
Мошенники из SkyWalk встроили скрытые веб-браузеры в различные игровые приложения для iOS. Эти приложения доступны для скачивания в App Store и выглядят легитимно, игры в них можно играть.
Но как только пользователь открывает приложение, оно одновременно запускает скрытые веб-сайты на устройстве пользователя. Пока пользователь играет в «Sushi Party» или «Bicycle Race», скрытые сайты работают в фоновом режиме, незаметно показывая рекламу, которую никто не видит.
Показы регистрируются. Рекламодатели получают счета. Ни одна реклама не просматривается человеком.
Год роста вредоносных приложений
Компания DV отмечает увеличение количества мошенничеств с использованием ИИ в этом году, включая всплеск вредоносных приложений. На iOS среднее количество мошеннических приложений, выявленных DV за первые три квартала 2025 года, более чем втрое превышает показатели предыдущих пяти лет.
И всё же SkyWalk выделяется среди остальных. Он включает десятки мошеннических приложений, скрывающих более 80 фальшивых игровых веб-сайтов, которые генерируют миллионы манипулированных рекламных показов. Для этого используются скрытые браузеры, которые делают сайты полностью невидимыми для пользователей, а также захват касаний для генерации премиальных форматов рекламы. Прибыль распределяется между несколькими участниками мошеннической сети.
Мошенники SkyWalk используют контент, сгенерированный ИИ, чтобы их фальшивые сайты выглядели легитимными во время аудитов, хотя эти сайты не получают органического трафика. В данных аукционов схема искажает мобильный трафик приложений, представляя его как трафик веб-сайтов, чтобы обойти Open Measurement SDK, стандартный инструмент для выявления рекламы в приложениях, но не в браузерах.
Кто страдает?
SkyWalk наносит ущерб маркетологам, тратя рекламные бюджеты без создания узнаваемости бренда. Это завышает показатели эффективности, что может исказить оптимизацию кампаний.
Потребители также становятся невольными жертвами. Пока они играют в игры на этих вредоносных приложениях, скрытые сайты, работающие в фоновом режиме, истощают аккумулятор, вычислительные мощности и память их устройств. Они могут даже перегреться.
Сложные схемы требуют глубоких знаний. Стандартные инструменты измерения недостаточны для обнаружения SkyWalk. Маркетологам следует обращаться за продвинутыми методами выявления мошенничества к провайдерам верификации с технической экспертизой для проведения сложного анализа. Постоянный мониторинг также критически важен, так как мошеннические сети развиваются, и появляются новые схемы.
Очень тревожный сигнал для рекламодателей и пользователей. Похоже, что такие схемы становятся всё сложнее и более изощренными. Надеюсь, компании начнут использовать более продвинутые инструменты для борьбы с этим явлением, чтобы защитить как свои бюджеты, так и устройства пользователей.