IAS identifica mais de 300 apps falsas que geravam 350 milhões de impressões falsas por dia

A Integral Ad Science (IAS) tornou público um novo relatório do seu grupo de investigação especializado, o IAS Threat Lab, que detalha o funcionamento de “Mirage”, uma sofisticada operação de fraude publicitária móvel que afetou a loja de aplicações Android e conseguiu permanecer ativa durante meses sem ser detetada.

De acordo com o relatório, o esquema Mirage consistia numa rede de mais de 300 aplicações fraudulentas, que se faziam passar por apps de saúde, fitness, limpeza de dispositivo ou utilitários aparentemente inofensivos. Numa fase inicial, estas aplicações funcionavam como prometido, o que facilitava a sua instalação por utilizadores reais e ajudava-as a passar os controlos automatizados das lojas. No entanto, após a instalação e um período de latência, as apps ativavam funcionalidades ocultas que sequestravam os dispositivos, apresentando anúncios de vídeo em ecrã completo e tornando o telemóvel praticamente inutilizável.

Estas aplicações conseguiram contornar os mecanismos tradicionais de deteção através de técnicas avançadas de cloaking e da utilização em massa de instalações falsas geradas por bots e por grandes fazendas de dispositivos físicos, o que lhes permitiu escalar rapidamente nos rankings de apps mais populares. Muitas delas chegaram mesmo a figurar entre as mais descarregadas em mercados chave como Estados Unidos, Reino Unido, Canadá, Austrália e Japão.

No total, a IAS estima que o esquema Mirage tenha alcançado mais de 70 milhões de downloads e chegado a gerar 350 milhões de bid requests por dia em ambientes programáticos, apesar de não oferecer qualquer funcionalidade real além da exibição de anúncios. Algumas das apps passaram de zero impressões publicitárias para volumes de dois dígitos por utilizador em poucos dias.

O relatório revela ainda que os programadores por detrás do Mirage utilizaram múltiplas contas recicladas ou compradas para contornar as políticas da Google Play e republicar versões ligeiramente alteradas das mesmas apps, mudando apenas o nome, o ícone ou a estrutura do código. Este padrão, segundo a IAS, demonstra um elevado grau de automação ou semi-automação da operação.

As apps já foram removidas

O IAS Threat Lab trabalhou em estreita colaboração com a equipa de segurança da loja de aplicações Android para mitigar de imediato a ameaça. Como resultado, todas as aplicações fraudulentas identificadas foram eliminadas da loja, e os dispositivos que as tenham instalado (mesmo que a instalação tenha sido feita por fontes externas) receberão um aviso e serão automaticamente desativadas através do sistema Google Play Protect.

A investigação, iniciada após a deteção de anomalias em modelos de análise pre-bid, tornou-se um caso paradigmático de como as táticas de fraude publicitária continuam a evoluir rapidamente. Segundo a IAS, o Mirage representa uma “preocupante evolução” de técnicas já observadas noutras operações, como o caso “Vapor Threat”, também documentado pela sua equipa de Threat Intelligence no início deste ano.

Para os responsáveis pelo estudo, uma das conclusões mais preocupantes foi a grande capacidade de adaptação dos autores da fraude: sempre que uma app era detetada e removida, uma nova versão ligeiramente modificada surgia de novo na loja, num fenómeno que os investigadores comparam a uma “caixa de Pandora”.

Nas palavras dos especialistas da IAS, este tipo de esquemas mostra que bloquear aplicações individuais já não é suficiente. É necessário adotar uma abordagem mais estruturada, que permita rastrear padrões entre contas de programadores, redes de promoção cruzada e anomalias nas taxas de instalação ou ativação publicitária.

A IAS disponibilizou ao ecossistema publicitário os Indicadores de Comprometimento (Indicators of Compromise) associados ao esquema Mirage e reforçou os seus filtros pre-bid para excluir impressões provenientes de qualquer aplicação ligada à operação. Paralelamente, recomenda a anunciantes, DSPs e agências que revejam as suas listas de exclusão e exijam maior transparência aos seus parceiros tecnológicos.