IAS Sahtekarlıkla Savaşıyor Operasyon: Arcade

Integral Ad Science (IAS) uzman mühendislerinden oluşan IAS Threat Lab, sofistike reklam sahtekarlığı planlarını ve kötü niyetli dijital reklamcılık davranışlarını ortaya çıkarmak, incelemek ve azaltmak üzerine odaklanan özel bir ekiptir.

Ekip, 2025 başından itibaren toplam 3 büyük reklam sahteciliği operasyonu yaparak sahtekarlara ağır darbe vurmuştur. Vapor, Kaleidoscope, Mirage operasyonlarını bağlantılara tıklayarak okuyabilirsiniz. Arcade operasyonu yılın 4. büyük reklam sahteciliği operasyonu oldu.

Ekibin son operasyonu Arcade, programatik oyun ekosisteminde giderek yaygınlaşan bir para kazanma modelini ortaya çıkardı. Tamamı aktif ve işlevsel olan çok sayıda HTML5 oyun sitesi, sahte Android uygulamalarından gelen gizli uygulama içi tarayıcı (hidden in-app browser) yolu ile reklam envanterlerinden gelir elde etmektedir. Bu oyun siteleri gerçek reklam talepleri (ad request) almakta ve oynanabilir içerik sunmaktadır; ancak trafiğin kendisi hiçbir zaman görünür (insan) kullanıcılardan gelmemektedir. Reklam trafiği, Android yardımcı araç uygulamaları (utilities) ve basit oyun uygulamalarının içine gömülmüş, arka planda çalışan tarayıcı sekmelerinden gelmektedir.

IAS, toplam 10 milyon yüklemeye sahip 50 Android uygulamasının, 200'den fazla HTML5 oyun alan adından oluşan bir ağa toplu olarak trafik yönlendirdiğini tespit etmiştir. Bu HTML5 oyunları gerçek ve düzgün çalışan (responsive) oyunlar olmalarına rağmen, genellikle kullanıcılar tarafından görülmemektedir. IAS’in sahtekarlık tespit sistemleri, olağandışı arka planda görüntü işleme (background rendering) ve alan adı döngüsü (domain iteration) davranışlarını belirlemiş ve bu sayede kampanya tam ölçeğe ulaşmadan önce erken müdahale edilmesini sağlamıştır.

Oyunlar Gerçek, Kullanıcılar Sahte

Bu organize işin merkezinde bulunan alan adları, aldatıcı bir şekilde özgündür. Her biri, etkileşimli arayüzleri ve reklamcılık çerçeveleriyle (framework) tamamlanmış, oynanabilir, tarayıcı tabanlı oyunlar barındırmaktadır. Alan adları sıklıkla “game” (oyun) veya “play” (oyna) gibi oyunla ilgili anahtar kelimeler içermekte ve sayfalar doğru şekilde yüklenip amaçlandığı gibi çalıştığı için doğrulama sistemlerine zararsız görünmektedir. Trafik ilk bakışta incelendiğinde, her şey normal bir oyun etkileşimine işaret etmektedir.

Bu paravanın arkasında, sahte Android uygulamaları bu sayfaları sürekli olarak görünmez uygulama içi tarayıcı sekmelerinde yüklemekte ve kesintisiz bir reklam gösterimi akışı yaratmaktadır. Sayfalar kullanıcıya gösterilmemekte ve uygulamalar kendi işlevlerini yerine getirirken sessizce gerçekleşmektedir. Analiz edilen bir uygulamanın, sırayla yüzlerce alan adını döngüye soktuğu ve gerçek oyun oturumlarından ayırt edilemeyen, sürekli ve otomatik bir envanter oluşturduğu görülmüştür.

Reklam Sahtekarlığı Nasıl Yapılmaya Başlıyor?

Arcade’in aktif olma şekli, IAS tarafından ilk kez Mirage operasyonunda ifşa edilen aynı gizlenme ilkeleri (cloaking principles) üzerine kuruludur. Uygulamalar belirli yükleme koşulları karşılanana kadar reklam sahtekarlığı mantıklarını gizliyor, bu da onların standart test ortamlarında meşru görünmelerini sağlıyor.

Doğrudan uygulama mağazalarından yüklendiğinde, Arcade bağlantılı uygulamalar normal davranmakta ve hiçbir şüpheli davranış belirtisi göstermemektedir. Reklam sahtekarlığı bileşenleri, yalnızca uygulama, ücretli bir reklam kampanyası veya bir referans bağlantısı aracılığıyla yüklendiğini tespit ettiğinde etkinleşmektedir.

Bu saptama, uygulamaya yükleme yöntemini raporlayan ilişkilendirme SDK'ları (Attribution SDK - örneğin Appsflyer SDK) kullanılarak yapılmaktadır. Yüklemenin kampanyadan geldiği doğrulanırsa, uygulama uzaktaki bir komuta-kontrol (command-and-control) sunucusuyla iletişim kurar ve özel HTTP başlıkları (custom headers) içinde cihaz ve yönlendirme verilerini iletir.

Bu başlıklar sıkı doğrulama kontrollerini karşıladığında, sunucu şifrelenmiş bir yük (payload) ile yanıt verir; uygulama bu yükün şifresini çözer ve dinamik olarak yükler. Şifresi çözülen bu kod, gizli uygulama içi tarayıcı sekmelerinin arka planda HTML5 oyun alan adlarını çalıştırmasını (render) sağlar ve çoğu durumda ikincil bir gelir elde etme yolu olarak bağlam dışı reklam sunumunu (out-of-context ad delivery) etkinleştirir.

Bu yük yalnızca hedeflenen cihazlara iletildiği için, uygulamalar normal inceleme koşullarında 'temiz' görünmeye devam eder. Birçok örnek ayrıca, sanallaştırılmış veya korumalı (sandboxed) ortamları tespit etmek ve çalışmayı durdurmak için tasarlanmış analiz karşıtı korumalar (anti-analysis safeguards) içerir; bu da tespit çabalarını daha da karmaşık hale getirir.

İki Düzeyli Gelir Elde Etme

Arcade ağı altındaki uygulamalar, birbirini tamamlayan ancak ayrı olan iki farklı mekanizma aracılığıyla gelir elde eder. İlki, oyun alan adı ağını bir gelir elde etme noktası olarak kullanan gizli trafik üretimidir. Asıl gelir kaynağı olarak bu alan adları kullanılmakta ve uygulamalar içindeki görünmez sekmeler tarafından oluşturulan envanteri satmaktadır.

İkincisi, IAS'in Vapor ve Mirage gibi önceki operasyonlarında görülen bir davranış olan bağlam dışı reklamcılıktır (out-of-context advertising); bu yöntemde uygulamalar, normal etkileşim akışlarının dışında görünen beklenmedik tam ekran veya geçiş reklamları (interstitial ads) yayınlar.

Bu ikili yapı, tehdit aktörlerinin hem görünür hem de görünmez reklam alanlarından gelir elde etmesine olanak tanır. Görünür reklamlar kullanıcıları rahatsız ederken, görünmez oyun sekmeleri çok daha büyük bir gelir kaynağı olmaktadır.

Yayınların Coğrafi Hedeflemeleri

Arcade ağının ilk faaliyetleri Batı pazarlarında, özellikle de Amerika Birleşik Devletleri, Brezilya ve Kanada'da yoğunlaşmıştı. Zamanla, kampanyalar Asya-Pasifik bölgelerine doğru kaymıştır. Eylül 2025 itibarıyla, yüklemelere ve trafiğe Türkiye, Vietnam, Filipinler, Tayland, Endonezya ve Malezya hakim olmuştur. Bu ülkeler şu anda tespit edilen tüm Arcade trafiğinin yaklaşık yarısını oluşturmaktadır; bu da yayıncıların bilinçli şekilde trafiklerini başka ülkelere hedeflediğini göstermektedir.

Tespit edilen uygulamalar arasında, basit bir oyun uygulaması olan Street King Vacano (com.txt.streetking.vacano), Arcade'in potansiyelini göstermektedir. Uygulama, birçok pazarda "En İyi Yeni Ücretsiz" listesinde 1 numara da dahil olmak üzere üst sıralara yerleşmiş ve bir aydan kısa bir sürede 1 milyondan fazla yüklenmiştir.

Tespit

Arcade, ustaca gizlenmiş bir organize reklam sahtekarlığı olsa da ağ ile ilişkili trafiğin hacmi kendini gizlenmez bir noktaya sürüklemiştir. Arcade'in arkasındaki tehdit aktörleri; geliştirme altyapısına, alan adı edinimine ve sürekli uygulama dağıtımına büyük yatırımlar yapmış; bu da onların daha geniş oyun ekosistemine karışan büyük miktarlarda sahte trafiği sürdürmelerine olanak tanımıştır.

IAS sahtekarlık tespit sistemleri, operasyonu, davranışsal anomali analizi ve alan adı dolaşım modeli (domain traversal pattern) tanıma kombinasyonu yoluyla tanımlamıştır. Tekrarlanan, hızlı sayfa yüklemeleri ve etkileşimli olmayan görüntü işleme (non-interactive rendering) olayları, faaliyetin insan kaynaklı olmadığını ortaya çıkarmıştır.

Bu reklam sahtekarlığının arkasındaki geliştirici hesaplarının ve ilişkili alan adı operatörlerinin altyapısını haritalandırma ile soruşturma devam etmektedir. Mevcut bilgilerde 200 oyun alan adı ve 50 uygulama bulunsa da, Arcade'in yapısının modüler doğası, diğerleri engellendikçe yenilerinin kolayca eklenebileceğini göstermektedir.

Sonuç

Arcade, meşru içeriklerin gizli bir gelir elde etme katmanına nasıl dönüştürülebileceğini göstermektedir. Bu operasyonun merkezinde oyun alan adları yer almakta ve hiçbir insanın yaratmadığı bir trafikten gelir elde etmektedirler. Android uygulamaları ise trafiği yönlendirme işlevi görerek, arkalarındaki ekosistemi finanse eden reklam taleplerini sessizce iletmektedir.

IAS, bu uygulamaları ve alan adlarını reklam tedarik zincirinden tespit edip kaldırarak, operasyonun finansal can damarını etkin bir şekilde kesmekte, daha fazla gelir elde edilmesini önlemekte ve sürekli büyümesini besleyen kaynakları etkisiz hale getirmektedir.

IAS Threat Lab gelişen reklam sahtekarlığı yaparak gelir elde etme yöntemlerini, reklamverenlerin bütçelerine ulaşmadan önce ortaya çıkarmaya ve engellemeye kararlıdır. Reklam sahtekarlığı ile pre-bid ve post-bid mücadeleye yönelik yapay zeka destekli IAS'in 3 katmanlı reklam sahtekarlığı koruması hakkında daha fazla bilgi edinin.