用機器人模擬使用者，這家公司騙走幾億美元廣告費

（原標題：Apps Installed On Millions Of Android Phones Tracked User Behavior To Execute A Multimillion-Dollar Ad Fraud Scheme）

網易科技訊 10月24日訊息，美國新聞聚合網站Buzzfeed News最近釋出深度調查報告，曝光了一起規模龐大的數字廣告騙局，超過125款安卓應用程式和網站被捲入其中，致使數億美元的廣告收益被盜。

Buzzfeed News的報告顯示，去年4月份，史蒂文·舍恩(Steven Schoen)收到自稱We Purchase Apps公司代表的電子郵件，宣稱想買他開發的安卓應用程式Emoji Switcher。然而舍恩簡單調查發現，他幾乎無法確認這家公司是否真的存在。We Purchase Apps公司網站稱其總部位於紐約，但地址似乎是一棟住宅。他們的電話號碼歸屬地在英國還有其他幾個地方。

這一切都顯得有點兒怪異，但舍恩沒有意識到，自己的應用最終會落入一個涉嫌欺詐數億美元的數字廣告騙局中。We Purchase Apps的報價比舍恩預期的更高，則促使他下定決心出售應用。同樣的情況也發生在另外五位應用開發者身上，他們稱將自己的應用賣給了We Purchase Apps公司。

在被買走後，這些應用程式在谷歌應用店Google+Play/">Google Play上的頁面很快被修改，列出了4家不同公司作為它們的開發者，它們的地址分別位於保加利亞、塞普勒斯和俄羅斯，這讓人覺得這些應用程式現在有了不同的所有者。但Buzzfeed News調查顯示，這些看似獨立的應用程式和公司實際上都是一起數字廣告騙局的一部分。

超過125款安卓應用和網站捲入這場騙局中，欺詐者建立的前端和空殼公司遍佈塞普勒斯、馬耳他、英屬維爾京群島、克羅埃西亞、保加利亞和其他地方。受影響的應用程式中有十幾款是針對兒童或青少年的，有知情人士估計，該騙局已從許多應用和網站竊取了數億美元廣告收益。

報告中指出，欺詐者通過前端公司從開發者那裡購買合法的安卓應用程式，然後將其所有權轉移給繼續管理該應用的空殼公司。網路安全與欺詐檢測公司Protected Media分析顯示，這些應用隨後會捕捉人類使用者的行為，並編制龐大的聊天機器人網路來模仿這些行為。接著用真實的資料欺騙使用者，並從應用內支付廣告費用的公司那裡獲得了數億美元的廣告收入。

這意味著，數以百萬計下載了這些應用程式的安卓手機使用者被祕密追蹤。通過複製應用內真實人類使用者的行為，欺詐者能夠產生繞過欺詐檢測系統的虛假流量。這是個非常聰明的系統，它用欺詐性網路流量隱藏於常規使用者資料旁邊，使任何反欺詐系統都難以檢測到它。

另一家欺詐檢測公司Pixalate今年6月首次披露了這場騙局的另一個要素。當時，該公司估計，單個移動應用的欺詐行為每年可能產生7500萬美元廣告收入。在公佈調查結果後，Pixalate收到了一封匿名知情者的電子郵件，宣稱被盜的金額接近預估數字的10倍。他還表示，這項業務之所以如此有效，是因為它“與數字廣告領域中許多最大品牌合作，以確保廣告商和資金的持續流動。”

分析服務公司AppBrain的資料顯示，BuzzFeed News確認的應用程式在安卓手機上的安裝次數總計超過1.15億次。大部分都是遊戲，其他包括手電筒應用、自拍應用和健康飲食應用。此次騙局涉及的EverythingMe，已經被安裝了2000多萬次。

應用被收購後，它們會繼續獲得維護，以便讓真正的人類使用者感到滿意，並創造出欣欣向榮的假象，以掩蓋其製造的虛假流量。這些應用程式還在多家空殼公司之間轉換，以分配利潤，並隱瞞運營規模。這起騙局曝光表明，數字廣告生態系統中存在著非常嚴重的欺詐行為，品牌正損失鉅額資金，而整個行業依然未能阻止這種行為。

應用程式度量公司AppsFlyer估計，僅今年第一季度，通過應用程式被盜的資金就有7億至8億美元，同比增長30%。Pixalate對應用內欺詐的最新分析發現，23%的移動應用廣告在某種程度上存在欺詐行為。總體而言，Juniper Research估計，今年數字廣告欺詐者將竊取190億美元，而其他人認為實際數字可能需要增加2倍。

這個數字廣告騙局重點正對安卓應用，部分原因在於其擁有龐大的使用者群體，以及谷歌應用店的審查程式不如蘋果那樣嚴格。在這種情況下，安卓應用程式被買賣，注入惡意程式碼，在使用者或谷歌不知情的情況下被重新使用，甚至變成了欺詐的引擎。

谷歌已經意識到此事，並開始採取行動。谷歌在博文中指出，該公司已從應用店及其廣告網路中刪除了涉及欺詐行為的應用程式。谷歌宣稱其去年刪除了70多萬個違反規定的應用程式，還強調通過實施ads.txt等標準來打擊廣告欺詐的承諾。目前沒有證據表明，谷歌或其他任何公司知道這類廣告欺詐行為。該公司估計，僅通過谷歌廣告網路，廣告商在受影響網站和應用程式中就被竊取了近1000萬美元。

此外，谷歌不願透露，捲入騙局的任何應用程式在更換所有權後，或出於任何其他原因，是否受到了後續審查。Pixalate首席技術官阿敏·班德利（Amin Bandeali）表示，谷歌應用店對應用及其開發者的持續審查很少，這使得它們很容易成為騙子和其他壞人的攻擊目標。他稱:“應用店可能無意中提供了一個途徑，將欺詐者與廣告買家和賣家聯絡起來。雖然這些應用店提供客戶評論、下載數字和其他‘質量’指標，但它們提供的服務卻很少，只能審查應用公司的商業行為、技術和關係。”

為了確定這起數字廣告騙局的主要受益者，BuzzFeed News分析了We Purchase Apps公司的註冊記錄、域名所有權和域名系統資料、谷歌應用店列表以及其他可公開獲取的資訊。分析顯示，這些應用程式和網站與馬耳他公司Fly Apps有關。這家公司的所有者包括兩名以色列人歐默·安納託(Omer Anatot)和邁克爾·阿里·伊隆(Michael Arie Iron)，以及兩名德國人托馬斯·波澤爾特(Thomas Porzelt)和菲利克斯·雷納爾(Felix Reinel)。

其中，安納託是EverythingMe公司的執行長，這是Fly Apps旗下非常流行的應用。安納託宣稱自己只負責管理EverythingMe，並將Pixalate發現的欺詐行為歸咎於他們合作過的AdNet Express公司。他說，他的公司向AdNet Express支付了費用，以委託其幫助擴大使用者基礎，任何欺詐都是這些合作伙伴的錯。

目前還不清楚AdNet Express是否是一家真正的公司。除了非常簡單的網站，它幾乎沒有任何線上資料，沒有地址或電話號碼，也沒有引用任何客戶或專案資料。該網站的域名所有權資訊列出個虛假的美國郵寄地址，以及虛假電子郵件地址，後者是通過Fake Mail Generator服務生成的。

同時，在BuzzFeed News聯絡安納託之後，很多與騙局有關的網站都顯示下線，幾家空殼公司的網站同時被凍結。Fly Apps否認與騙局中的應用、網站或公司有聯絡。該公司產品受到很多人喜愛，擁有大量使用者。Fly Apps是一家聲譽卓著的應用開發商，長期以來始終受到廣告合作伙伴和廣告驗證公司的支援。

如何偽造虛假流量？

要想為這場騙局製造令人信服的虛假流量，第一步就是獲得人類使用者使用的安卓應用程式。欺詐者研究使用者的行為，然後建立聊天機器人（自動化計算機程式）模仿同樣的行為。這些機器人被載入到包含專門軟體的伺服器上，這些軟體使機器人能夠在特定的應用程式中生成流量。

聊天機器人使用虛擬網路瀏覽器訪問被捲入欺詐案中的網站，以幫助將這些流量偽裝成人類使用者。此後，虛假流量會產生廣告瀏覽量，而廣告瀏覽量又會帶來收入。將真人和機器人混合起來，有助於騙過那些用來檢測虛假流量的系統，因為真實流量和虛假流量看起來幾乎完全相同。顯然，策劃這場騙局的人既熟悉廣告技術行業，也熟悉檢測廣告欺詐的主流資料科學方法。

安納託之前經營著名為Install Labs LTD的公司，主要業務是將惡意軟體和其他軟體分類為“潛在不受歡迎程式”(PUP)，因為它們給使用者帶來了挫敗感，並且經常在未經允許的情況下安裝其他程式。安納託也是Montiera的投資者，這家公司也是開發歸類PUP軟體的公司。與騙局中的應用程式和網站一樣，這些小型應用程式依賴數字廣告創造收入。

波澤爾特和雷納爾之前經營著名為hostimpact.de的主機託管和伺服器管理公司，他們擁有廣告和伺服器管理經驗，是這場騙局中所必需的。目前還不清楚伊隆之前從事什麼工作，但他是一家塞爾維亞公司的股東，該公司為安卓和其他網路產品開發移動應用。

騙局是如何被發現的？

今年夏天，Pixalate的資料科學家在名為MegaCast的安卓應用程式中發現了許多令人擔憂的東西，騙局開始浮現出水面。MegaCast的賣點在於，它可以讓使用者在流媒體裝置上播放任何視訊，無論何種格式。Pixalate發現，MegaCast有時會顯示其他應用程式的唯一ID，以吸引廣告競價。這意味著，廣告買家認為，他們是在更受歡迎的EverythingMe應用程式中購買廣告，而實際上他們是在MegaCast中出現的。

Pixalate發現大約有60個應用程式受到MegaCast的欺騙，估計這個騙局每年可以產生7500萬美元的欺詐廣告收入。記錄顯示，迪士尼、歐萊雅、Facebook、沃爾沃和Lyft等主要品牌的廣告都曾被欺騙性地展示。Pixalate在6月份的一篇部落格文章中透露了他們的發現，MegaCast很快就被從谷歌應用店移除。Fly Apps宣稱自己也是MegaCast的受害者，並承諾改進應用。

在Pixalate公佈調查結果後不久，有參與騙局的知情人士宣稱要公佈內幕，以充分揭露這起欺詐案件，並揭示了其龐大規模。此後，BuzzFeed News開始展開調查更多細節，並得出驚人結論：這些應用程式並不是龐大騙局的受害者，而是相互關聯的，因此也是騙局的一部分。Protect Media隨後發現了由聊天機器人產生的虛假流量，這也證實了訊息來源的可信性。

主要受益者

早在2015年，EverythingMe就已經成為谷歌應用店中最有前途的安卓應用之一，累計下載量超過1000萬人次，籌集了超過3500萬美元的風險投資。EverythingMe是個“啟動器”，可以幫助組織應用程式和聯絡人，並根據你使用手機的時間顯示相關資訊。但在2015年底，由於沒有獲得支援，建立它的公司宣佈關閉。

一位不願透露姓名的前高管透露，2016年，這款應用被悄悄賣給了新所有者，並在2017年初在推特上迅速活躍起來，同時推廣下載連結。如今看來，EverythingMe被Fly Apps所有，安納託擔任其執行長。公司所有權記錄證實，安納託擁有Fly Apps 25%的股份。而MegaCast正是Fly Apps開發的應用，Pixalate發現它是整個騙局的中心。

BuzzFeed News還發現，在廣告欺詐操作中，Fly Apps與許多捲入其中的其他公司、網站和應用程式之間存在密切聯絡。谷歌應用店中EverythingMe、Restaurant Finder以及MegaCast頁面上，都列出了Fly Apps使用的馬耳他地址。同樣的地址也出現在Mobilytics網站上，這家公司是Pixalate發現的最初欺詐事件的中心。有壓倒性的證據表明，這些公司和其他相關公司只不過是為了安納託等人執行騙局而建立的空殼公司。（小小）

本文來源：網易科技報道 責任編輯：王鳳枝_NT2541