top of page

"Vapor": Büyük Ad Fraud Operasyonu

  • Writer: İlbey Özden
    İlbey Özden
  • Mar 11
  • 3 min read

IAS Threat Lab son dönemin en büyük reklam sahtekarlıklarından birini tespit etti: 


Hem reklam bütçelerini, hem de telefon kullanıcılarını kandırmaya yönelik bir sahtekarlık, VAPOR! 


Reklam endüstrisi bütçeleri ve artan dijital yayın erişimleri kötü niyetli yapıların daha akıllı teknolojiler üreterek sahtecilik yapmasına, reklam bütçelerini ele geçirmek için teknolojiyi kullanarak ekosisteme her anlamda daha çok zarar vermesine yol açıyor. Reklam teknolojileri geliştikçe, reklamveren ve kullanıcının faydasına olan birçok yazılım gibi, zararına olan ve tamamen kötü niyetli, reklam bütçelerinden pay almaya çalışan yazılımlar da sürekli geliştirilerek üretiliyor.


IAS Threat Lab, neredeyse bir yıla yakındır büyük bir reklam sahteciliği üzerine çalışarak, "Vapor" kod adlı geniş çaplı ve sofistike bir reklam sahteciliğini ortaya çıkardı. Bu reklam sahteciliği operasyonu, sahte Android uygulamalarının sürekli ve rahatsız edici tam ekran geçiş (interstitial) reklamlar göstermesini kapsıyor. Reklam sektöründeki bütçeleri hedef alan bu yöntem, reklam ağlarını hedef alırken, son derece organize ve yaygın bir tehdit oluşturuyor. Reklam ağlarını hedef alsa da bu durum en önemlisi kullanıcının deneyimi konusunda da önemli bir sorun teşkil ediyor. Sahte uygulamalar ile kullanıcıların kandırılması ile beraber, uygulamayı yüklemiş olan kullanıcıların telefonlarında sorunlarla karşılaşmalarına, geçemedikleri & kapatamadıkları reklamlar ile kullanım deneyimlerini engelleyen bir yöntem olarak tespit edildi.

IAS'ten çarpıcı tespitler:

📌Bu yöntemi kullanan 180'den fazla uygulama (app) tespit edildi.

📌Uygulamaların toplamda 56 milyondan fazla indirme aldığı görüldü.

📌Uygulamalar üzerinden günlük 200 milyondan fazla bid request yapıldığı ortaya çıktı.


Hem reklamveren, hem kullanıcı nasıl mağdur edildi?

  • Google Play Store'da farklı şirketler tarafından yayınlanan VAPOR uygulamaları, günlük yaşamı kolaylaştırıyor gibi görünmesi tespit edilmesini zorlaştırıyor.

  • Bu uygulamalar genellikle aşağıdaki kategorilerde yer alıyor:

    • Şifre yönetici uygulaması

    • Hırsızlık önleme alarm uygulaması

    • QR kod oluşturucu/okutucu

    • Nabız takip uygulaması

    • Not alma uygulaması

    • Su içme takip uygulaması

    • Çeviri uygulaması

    • Motivasyon uygulaması

    • El feneri uygulaması

  • Uygulamalar Play Store'a ilk yüklendiğinde gerçekten işlevi olsa da sonradan yapılan güncellemeler ile uygulamaların işlevi değiştiriliyor.

  • Kullanıcı uygulamayı yükledikten sonra ekranda kapatılamayan ve geçilemeyen sabit bir bildirim beliriyor.

  • Bu bildirim, uygulamanın arkaplanda çalışmasını sağlıyor ve cihazın aktif olduğunu reklam ağlarına ileten mekanizmanın bir parçası.

  • Kullanıcı, bu bildirimden kurtulmak için ayarlara girip uygulamayı tamamen kaldırmalı. Ancak herkes bu işlemi hemen fark edemeyebilir veya gerçekleştiremeyebilir.

  • Bu süreçte telefon, aktif cihaz olarak reklam sistemlerine dahil ediliyor ve reklam gösterimleri alıyor.

  • Kullanıcı, aktif bir kullanıcı olarak reklam ağlarına sunuluyor ve sahte gösterimlerle reklamverenlerden gelir elde ediyor.


Standartlara uygun olmayan reklam gösterimi:

  • Kullanıcının ekranında tam ekran (interstitial) reklamlar beliriyor.

  • Bu reklamlar, standart kurallara uymuyor çünkü kapatma veya geçme seçenekleri sunulmuyor.

  • Kullanıcı, cihazını normal şekilde kullanamıyor ve mağdur oluyor.

  • Reklamverenler ise farkında olmadan sahte gösterimlerden dolayı zarara uğruyor.


Ekosisteme zarar:

  • Bu tür uygulamalar, Google Play Store'un en popüler 100 uygulama listesine girerek sıralamaları manipüle ediyor.

  • Kullanıcıları kandırarak organik bir şekilde cihazlara yerleşmeyi başarıyorlar.



Yukarıda kullanıcının telefonunu ele geçirmiş olan VAPOR uygulamalarından görebileceğiniz reklam örneklerini paylaştık. Reklam bütçelerini ele geçirmeyi hedefleyen bu yazılımların amacı her türlü denetim mekanizmasını kandırmak olduğu için, "Vapor" kod adlı bu uygulamaların yöntemleri de elbette çok akıllıca:

  • Erken Başlatma: Vapor uygulamaları, Android ContentProvider bileşenini kullanarak kurulum anında arka planda çalışmaya başlar.

  • Ön Plan Servisi ile Reklam Gösterimi: Android'in kısıtlamalarını aşmak için native kod kullanarak tam ekran interstitial reklamlar gösterir.

  • Sürekli Çalışma Mekanizması: Kalıcı bildirimler aracılığıyla öncelikli işlemler yürüterek arka planda kesintisiz reklam yayınlanmasını sağlar.

  • Kullanıcı Kontrolünü Engelleme: Sistem bildirimlerini ve geri tuşunu devre dışı bırakarak kullanıcının uygulamadan çıkmasını zorlaştırır.

  • Şifreleme ve Anti-Analiz Teknikleri: Yerel kütüphaneler ve root kontrolü gibi yöntemlerle tespit edilmekten kaçınır.

Aşağıda da telefonu ele geçiren uygulamanın aktif cihaz olduğunu kanıtladığı kapatılamayan bildirim ve Google Play Store'da yüklendiğinde nasıl gerçek bir uygulama gibi göründüğüne bir örnek:



24 günde 1 milyon indirme sayısı elde etmiş “com.eatrg.Rise.Motivate” isimli Vapor uygulamasının indirme grafiği de aşağıda. İlk günlerde manipülasyon teknikleriyle şişirilen indirme sayısı sonrasında gerçek kişiler tarafından organik indirme sayısına dönüşüyor. Her reklamveren için tercih edilen ilgili organik hedef kitle!


Müdahale ve Önlemler

IAS Threat Lab, bu reklam sahteciliğini engellemek için sektör ortaklarıyla iş birliği içinde çalışır. IAS sahtekarlığı adım adım tespit ederken ve takip ederek raporları ile kanıtlarken Google ile temasa geçmiştir. Google tüm tespit edilen uygulamaları Play Store'dan kaldırmış, Google Play Protect ile bu uygulamaları tespit ettiğinde telefon kullanıcılarını uyarmaya başlayarak, Play Store dışındaki kaynaklardan yüklenenleri bile otomatik olarak devre dışı bırakmaktadır.

Reklam pastasından pay almaya niyet eden sahtecilerin yeni taktikler geliştirmesi ve sahtecilik şemasına yeni uygulamalar eklemeye devam etmesi bitmeyeceği için, Vapor operasyonunu IAS, sektör liderleri ile beraber çalışarak yakından takip etmeye ve düzenli olarak gerekli önlemleri almaya devam ediyor.


Koruma

IAS, tüm büyük DSP'lerde bulunan pre-bid sahtekarlık önleme çözümü sayesinde VAPOR tehdidinden reklamverenleri korumaktadır. Gelişmiş makine öğrenimi modelleri, sahtekarlık tespiti için özel olarak tasarlanmış segmentleri güçlendirerek DSP'lerin bu tür uygulamalardan gelen gösterimlere teklif vermesini engeller.




 
 
bottom of page