スマートフォンはポケットの中に安全に置かれ、画面は暗く、所有者は何も操作していない。しかし、まさにこの瞬間、デバイスは詐欺師のために不正な収入を静かに生成しているのだ。IAS Threat Labの専門家は、Genisysスキームを暴露し、2,500万台以上のデバイスを広告トラフィックの秘密工場に変えた組織的な詐欺を明らかにしました。
以前、研究チームは「Operation Arcade」の詳細を報告しました。これはモバイルアプリケーションが組み込みブラウザを通じて秘密裏にウェブサイトにアクセスし、訪問メトリクスを不正に増加させるという作戦です。この発表後、研究者たちは警戒を続け、異なるドメインとトラフィック動作を示す新しいインフラを検出しました。この発見は独立したネットワークを明らかにし、その後「Genisys」と命名されました。
Genisysは一見無害に見えるAndroidアプリケーションに直接組み込まれていました。これらのプログラムはユーザーに全く気付かれないままバックグラウンド活動を開始し、計算リソースとインターネット帯域幅を浪費しながら、全く見返りの利便性を提供していません。デバイスは統合ブラウザの隠しウィンドウ内でウェブサイトを密かに読み込み、本物のユーザーナビゲーションと本物の広告インプレッションという幻想を作り出していました。
GenisysとArcadeの最大の違いは、ターゲットウェブサイトの性質にあります。以前のバージョンでは詐欺師がゲームとエンターテインメントページを悪用していましたが、現在のバージョンでは生成型人工知能ツールで完全に合成された約500個のドメインが関係しています。これらのサイトはブログ、ニュースポータル、または情報リポジトリのように装っていました。しかし、実際にはアプリケーショントラフィックをマネーロンダリングするための自動組立ラインとしてのみ機能していました。
マクロレベルの検査によると、繰り返されるアーティクルテンプレートと審美的デザインの微妙な変化を特徴とした単一の構造が浮かび上がります。ドメイン命名法は変わり、ロゴは異なりますが、残りのアーキテクチャは隣接するサイトを単に映しているだけです。生成型ツールは新規プラットフォームの迅速な製造とウェブアドレスの継続的なローテーションを可能にし、伝統的な検出方法をシームレスに回避していました。
Genisysはアプリケーション識別子のなりすましによって、さらに状況を不透明にしました。これらの不正ドメインに向けられた不正トラフィックは、名目上は数百の異なるプログラムから発信されていました。数千万から数億のインストールを誇るものも含まれています。しかし、厳密な分析によれば、このデータは完全な捏造でした。わずかなアプリケーションのクラスタが秘密活動を生成しており、偽造識別子は煙幕を生成し、真の起源を特定する努力を著しく阻害していました。
この陰謀は多様な名称を持つ数十のアプリケーションを包含していました。これらのプログラムの相当な割合はメモリ最適化ユーティリティ、PDFリーダー、懐中電灯ツール、ゲーム、フィットネストラッカーのなりすましでした。関連する多くの開発者は既に以前の違反に関与していました。特定のアプリケーションが排除された後、並列の動作を示す新しいバージョンはすぐにマーケットプレイス内に現れました。
Genisysは急速に地理的な存在範囲を拡大しました。9月には、主な活動の拠点は北米に限定されていました。しかし、年末までに、トラフィックはアジア太平洋地域、ラテンアメリカ、ヨーロッパ、中東、アフリカ全体で安定した分布を実現していました。毎月、2~3つの新しい国がネットワークに組み入れられており、これは計画的で意図的なスケーリング努力を明らかに示しています。
IAS Threat LabはインテリジェンスドキュメントをGoogleに直接送信しました。内部検証の後、不正なアプリケーションのバージョンはGoogle Play Storeから削除されました。Google Play Protectディフェンスシステムはデバイス所有者に警告を発行し始め、ユーザーが未検証のサードパーティソースからプログラムをサイドロードした場合でも、Genisysに関連するソフトウェアを自動的に無効にしました。
ブロケード後、影響を受けたアプリケーションから発信された広告リクエストの量は95%以上激減し、ほぼゼロのレベルで安定しました。この同期した崩壊は、ネットワークの集中型アーキテクチャを明確に暴露しました。
Genisys年代記は大規模広告詐欺の進化における新しい時代を例証しています。正当なウェブサイトを放棄して、これらの悪党は人工知能を通じて鍛造された数百のドメインで構成される合成エコシステムを構築し、その後、数百のありふれたアプリケーションの装いの下にトラフィックの起源を隠しています。プラットフォームと開発者が体系的に常習犯を隔離するまで、そのような悪質なスキームは復活し、刷新されたパラダイムに包まれる運命にあります。
