Мы выявили масштабную кампанию по социальной инженерии, цель которой — заманить пользователей на сайты онлайн-гемблинга, создав у них впечатление, что они устанавливают легальное приложение.
Мы назвали эту схему FriendlyDealer. Она была обнаружена как минимум на 1500 доменах, на каждом из которых размещен веб-сайт, имитирующий Google Play или Apple App Store. Пользователи полагают, что загружают приложение для азартных игр из надежного источника, с соответствующими проверками, отзывами и мерами безопасности. Однако на самом деле они по-прежнему находятся на веб-сайте и устанавливают веб-приложение, которое затем перенаправляет их на предложения казино по партнерским ссылкам.
Эта кампания не крадет пароли и не устанавливает традиционное вредоносное ПО. Вместо этого она зарабатывает деньги за счет комиссионных каждый раз, когда кто-то регистрируется на одном из этих сайтов или вносит на него деньги.
Это может показаться менее серьезной проблемой, чем банковский троян, но в итоге люди попадают на нерегулируемые сайты азартных игр, где отсутствуют проверка возраста, ограничения на суммы депозитов и меры защиты потребителей. Причем это происходит в то время, когда игровую зависимость называют самым стремительным ростом азартных игр, который когда-либо наблюдался в стране.
Один набор, десятки приложений, созданных для имитации настоящих магазинов приложений
FriendlyDealer представляет собой единый набор инструментов, который можно использовать повторно для создания множества различных поддельных объявлений о приложениях.
Этот набор определяет, какое устройство вы используете, и соответственно отображает разные поддельные магазины. Android видят поддельный Google Play Store. Пользователи iPhone видят поддельный Apple App Store. Набор даже загружает правильные системные шрифты для каждой платформы (Google Sans на Android, San Francisco на iOS), чтобы оформление текста соответствовало тому, что вы привыкли видеть на своем телефоне.
По сути, это одно веб-приложение, которое загружает весь свой контент из одного конфигурационного файла, встроенного в страницу. Достаточно изменить этот файл, чтобы получить совершенно другое приложение, работающее на том же коде.
Операторы использовали это для запуска как минимум двадцати брендов казино, от«Tower Rush»(189 запусков) до«Chicken Road»(97) и«BEAST GAMES: ICE FISHING»(43), который выдаёт себя за YouTube MrBeast. (Стоит отметить, что некоторые из этих «скинов» повторяют названия легальных игорных брендов, однако ни один из них не имеет отношения к данной схеме.)
Отзывы являются поддельными. Различные приложения используют одни и те же имена пользователей, фотографии профилей, тексты и ответы разработчиков, которые повторяются в приложениях разных брендов. Перед тем как показать поддельный магазин, набор инструментов может также отобразить простую мини-игру в стиле казино, чтобы повысить вовлеченность пользователей.
Поддельная кнопка «Установить» в Android Chrome , доступную только на мобильных устройствах. Она перехватывает запрос Chromeна установку и запускает его при нажатии, в результате чего появляется настоящее диалоговое окно установки. Обычное предупреждение об установке приложений из неизвестных источников не отображается. Предыдущие исследования показали, что приложения, установленные таким образом, могут даже отображаться в настройках телефона как «Установлено из Google Play Store».
Код прилагает все усилия, чтобы вы оказались в нужном браузере. Если вы перешли по Instagram Facebook Instagram , вы попадаете во встроенный браузер этих приложений, который не может инициировать установку. На Android этот набор генерирует специальную ссылку, которая заставляет страницу открыться в Chrome. На iOS он делает то же самое, но для Safari. Если Chrome установлен, резервный механизм перенаправляет вас в настоящий Play Store для его загрузки. Существует даже отдельный обработчик для браузера Samsung. Техническая реализация для конкретных браузеров необычайно детализирована.
На этой странице отключена функция масштабирования, что затрудняет детальное изучение. Система присваивает каждому пользователю уникальный идентификатор и использует его во всех процессах: аналитике, регистрации событий, подписке на push-уведомления и маршрутизации предложений.
Поддельная страница в Google Play: BEAST GAMES: ICE FISHING от Mr. Beast 
Поддельная страница в Google Play: «Chicken Road» от Valor Casino 
Поддельная страница в Google Play: «Gates of Olympus» от Casino 
Поддельная страница в Google Play: Tower Rush от ELK Studios 
Поддельная страница в Google Play: Tower Rush от Galaxsys 
Поддельная страница в Google Play: Morospin от Morospin Inc. 
Поддельная страница в Google Play: Casino Mexico от Casino Mexico LLC 
Поддельная страница в Google Play: Revolut Slots от RevGameDev
Комплект настроен для работы с платной рекламой. В конфигурацию включены пустые слоты для пикселей отслеживания с четырёх рекламных платформ: Google, Yandex, Facebook и TikTok. Приложение и фоновый скрипт могут передавать рекламные идентификаторы Facebook(_fbc / _fbp), если эти значения доступны. Код ссылается на поля телеметрии Yandex и поставляется с комментариями и отладочными строками на русском языке, что соответствует русскоязычному контексту разработки, хотя эти артефакты также могли быть унаследованы от повторно использованного или приобретенного набора.
Алгоритм прост: покупается рекламный трафик, определяется тип устройства, отображается поддельный магазин приложений, инициируется установка, выглядящая как настоящая, и пользователь перенаправляется на сайт казино по партнерской ссылке.
Вы не устанавливаете приложение
Когда пользователь нажимает «Установить», страница на самом деле не загружает приложение. Вместо этого браузер создаёт так называемое прогрессивное веб-приложение (PWA). По сути, это веб-сайт, который ведёт себя как приложение: у него есть собственный значок на главном экране и собственный заставный экран. Для большинства людей его невозможно отличить от настоящего приложения.
После установки приложение может продолжать работать в фоновом режиме с помощью функций браузера, называемых «сервисными рабочими» (поддерживая постоянное соединение с вашим устройством). Примеры кода включают основной рабочий процесс PWA, а также код для регистрации отдельного рабочего процесса push-уведомлений (для отправки вам уведомлений) при его включении.
Этот набор также определяет, установлен ли он у вас уже. Он проверяет ваше устройство на наличие собственного PWA, и если его обнаруживает, то полностью игнорирует поддельный магазин и сразу перенаправляет вас в казино.
Один домен объединяет всё воедино
Каждый развернутый сервер FriendlyDealer отправляет запрос на один и тот же домен: ihavefriendseverywhere[.]xyz. Это сервер сбора данных кампании, и именно это название послужило источником вдохновения для названия нашей операции по отслеживанию.
Фоновый скрипт и код приложения отправляют на этот домен телеметрические данные, включая язык браузера, часовой пояс, данные пользовательского агента, дополнительные подсказки клиента пользовательского агента, идентификаторы рекламных кампаний и рекламные идентификаторы, если эти значения доступны. Большая часть этих данных передается через настраиваемые заголовки запросов.
В некоторых запросах используется метод HEAD, чтобы сохранить их компактность.
Код приложения также отправляет то, чего не отправляет фоновый скрипт: отчеты об ошибках JavaScript. Каждый сбой, каждая неудачная загрузка ресурса, каждое необработанное исключение, возникающее на устройстве пользователя, фиксируется, упаковывается в структурированный объект ошибки с отметкой времени и контекстом и отправляется на ihavefriendseverywhere[.]xyz/api/log_standard_err. Фактически операторы собирают как данные о пользователях, так и телеметрические данные об ошибках в работе с реальных устройств.
Если запрос завершается сбоем (например, из-за слабого сигнала), фоновый скрипт сохраняет его локально и повторяет попытку позже. Как только соединение восстанавливается, данные отправляются автоматически.
Поддельное приложение также запрашивает разрешение на отправку уведомлений. Если пользователь предоставит его, мошенники смогут зарегистрировать подписку на push-уведомления и создать прямой канал для будущих уведомлений. Эти уведомления выглядят как обычные уведомления приложения, что дает злоумышленникам прямой канал связи с пользователем даже после закрытия приложения.
Следуйте за деньгами: партнерские комиссии, а не вредоносное ПО
FriendlyDealer не распространяет вирусы и не захватывает устройства. Вся деятельность финансируется за счетпартнерских комиссионных. Каждая поддельная страница магазина приложений содержит скрытый переход на партнерскую сеть отслеживания. Когда пользователь регистрируется или вносит деньги, оператор получает вознаграждение.
В коде мы обнаружили несколько сетей отслеживания партнерских программ. Идентификатор пользователя используется во всех компонентах аналитики, событий, push-уведомлений и механизмам маршрутизации предложений, что позволяет соотносить действия на разных этапах воронки продаж.
Эта модель объясняет огромные масштабы кампании. Каждый домен является одноразовым. Набор представляет собой шаблон: достаточно изменить один конфигурационный файл, и за считанные минуты появляется новый бренд казино на новом домене. Учитывая, что, по имеющимся данным, выплаты партнерам в сфере азартных игр составляют от 50 до 400 долларов за каждого пользователя, внесшего депозит, даже небольшой коэффициент конверсии по тысяче доменов быстро приводит к значительной сумме.
Кто за этим стоит?
Мы не можем приписать эту кампанию какой-либо конкретной группе, но есть некоторые зацепки. Исходный код содержит комментарии на русском языке (например,«Создаем таймер для измерения времени загрузки Vue»). В одной из сборок были обнаружены неудаленные русские отладочные строки, которые были удалены из производственной версии. Код интегрирован с Yandex Metrica, которая популярна в России и странах бывшего Советского Союза.
Это указывает на русскоязычный контекст разработки, хотя код мог быть повторно использован или приобретен.
Код также содержит теги партнерского маркетинга — preland-alias и preland-final-action, — где «pre-lander» — это страница, которую посетитель видит перед фактическим предложением. Код приложения показывает, что этот тег управляет поведением набора: значение 0 запускает установку PWA, а 1 перенаправляет в магазин приложений. В сочетании с готовыми к использованию слотами для рекламных пикселей, настройками для каждого развертывания и логикой тестирования/производства это явно указывает на многоразовый набор, созданный для нескольких кампаний или операторов, а не для разового проекта.
Мы обнаружили несколько сборок одного и того же набора. В производственной версии удалены отладочные сообщения, однако в других сборках присутствуют полные сообщения об ошибках на русском языке, а также поддержка арабских цифр во всем интерфейсе — в количестве скачиваний, рейтингах, датах отзывов и т. д. Это не похоже на набор, созданный для одного рынка; судя по всему, он разработан с учетом поддержки региональных вариантов на этапе сборки.
Старый добрый трюк с новым результатом
Поддельные страницы магазинов приложений — это известный прием, который часто используется для кражи банковских учетных данных или распространения шпионского ПО. FriendlyDealer использует ту же схему: убедительный поддельный магазин и выглядящий реалистично процесс установки, но преследует иную цель. Он не захватывает контроль над вашим телефоном и не крадет ваши пароли. Он направляет вас на игорные платформы и получает комиссию, когда вы тратите деньги.
Ущерб носит скорее финансовый, чем технический характер: жертв направляют к предложениям азартных игр с помощью обманчивых сценариев установки и перенаправления, в результате чего они могут внести деньги на сайты, которые не выбирали сознательно.
Это также напоминание о том, что не все мошенники охотятся за вашими паролями. Партнерское мошенничество, особенно в сфере онлайн-гемблинга, позволяет финансировать масштабные операции, даже не прибегая к использованию учетных данных. Организаторы этой схемы создали целую фабрику: один шаблон, двадцать брендов, более 1500 доменов. Платная реклама привлекает трафик. Поддельные магазины приложений завершают сделку. Партнерская сеть оплачивает все расходы.
Эффективность этого метода заключается в том, что он злоупотребляет элементами, которые должны вызывать доверие. Процесс установки приложений Chromeна Android функция «Добавить на главный экран» в Safari на iPhone — это вполне легитимные функции, выполняющие то, для чего они были разработаны. Проблема заключается в том, что страница, инициирующая установку, является подделкой. Этот набор тщательно разработан таким образом, чтобы его видели только нужные пользователи на нужных устройствах, перешедшие по нужным рекламным объявлениям.
Что делать, если вы установили одно из этих приложений
На Android:
- Удалите приложение: нажмите и удерживайте значок, затем нажмите «Удалить», либо перейдите в «Настройки» > «Приложения» и удалите все, что вам незнакомо.
- Очистить данные сайта в Chrome: приложение может оставлять данные в вашем браузере. Откройте Chrome «Настройки» > «Настройки сайтов» > «Все сайты», найдите нужный сайт и нажмите «Очистить и сбросить».
- Проверьте разрешения на получение уведомлений: перейдите в Chrome «Настройки» > «Уведомления» и удалите все сайты, которые вам не знакомы. Удаление приложения не отменяет доступ к уведомлениям.
- Проверьте другие браузеры: если вы используете Edge, Brave или другой браузер на базе Chromium, повторите те же действия в них.
На iPhone:
- Удаление приложения: нажмите и удерживайте значок приложения на главном экране, затем нажмите «Удалить приложение». В iOS PWA не устанавливают фоновые скрипты, как это происходит в Android, поэтому при удалении значка также удаляются кэшированные данные сайта.
- Очистить данные сайтов в Safari: перейдите в «Настройки» > «Safari» > Advanced > Данные сайтов и найдите нужный домен. Проведите пальцем, чтобы удалить его. Это удалит все оставшиеся файлы cookie и сохраненные данные.
- Проверьте разрешения на получение уведомлений: перейдите в «Настройки» > «Приложения» > «Safari». Прокрутите страницу до раздела «Настройки для веб-сайтов » и нажмите «Уведомления». Найдите нужный сайт и удалите его из списка или запретите ему доступ.
Если вы внесли деньги после перехода на одну из этих страниц и считаете, что стали жертвой мошенничества, незамедлительно обратитесь в свой банк или к поставщику платежных услуг.
Показатели взлома (IOC)
Домены
ihavefriendseverywhere[.]xyz—Сервер для вывода данных и регистрации ошибокvalor[.]bet—URL шлюза/контрольного пункта (путь /__pwa_gate)wikis[.]lifestyle—Жестко заданная ссылка на домен в коде приложения
Мы не просто сообщаем о безопасности телефонов - мы ее обеспечиваем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes для iOS и Malwarebytes для Android, чтобы предотвратить угрозы на своих мобильных устройствах.
