Dados

Esquema de fraude de anúncios envolve mais de 125 aplicativos e sites Android

BuzzFeed News divulgou, na última semana, relatório que investigou novo esquema de fraude de anúncios em mobile

Os números exatos de fraudes de anúncios em dispositivos móveis que ocorrem diariamente são cada vez maiores. Estima-se que, hoje, 70% dos orçamentos de marketing estejam direcionados para o digital, e agora também alocados para dispositivos móveis. O resultado, de acordo com pesquisa realizada pelo eMarketer, representa uma participação de 34% do total de gastos com anúncios nos Estados Unidos.

Não é novidade, portanto, que o mobile tem se tornado ainda mais atraente para fraudadores de anúncios. Apenas alguns meses depois do escândalo envolvendo a Cambridge Analytica e o Facebook, onde aproximadamente 87 milhões de usuários tiveram os seus dados compartilhados sem a sua autorização, e mesmo diante do crescimento de leis de proteção de dados pessoais em ambientes online como o GDPR na União Europeia e o LGPD que entrará em vigor no Brasil em 2020, foi descoberto na última semana mais um escândalo envolvendo fraude de anúncios pelo BuzzFeed News: uma ampla operação que envolvia uma rede complexa de empresas-fantasmas dedicadas à compra de aplicativos para Android construídos por outras pessoas, para depois monetizá-los com um exército de bots.

Mas o que aconteceu, afinal?

De acordo com o relatório divulgado, uma empresa chamada We Purchase Apps recolheu aplicativos e empresas de desenvolvedores e os conectou em uma rede de empresas de fechada em países como Chipre, Malta, Croácia, Bulgária, entre outros. Juntos, esses aplicativos e empresas fazem parte de um esquema de fraude na publicidade digital sofisticado, envolvendo mais de 125 aplicativos e sites Androids conectados.

Mais de uma dúzia desses aplicativos são direcionados à crianças ou adolescentes, e uma pessoa envolvida no esquema estima que roubou centenas de milhões de dólares de marcas cujos anúncios foram mostrados para bots ao invés de humanos reais – uma lista completa de todos os apps, sites e suas empresas associadas no esquema podem ser encontradas nessa planilha.

 

Como funcionou o esquema de fraude?

O esquema pode não parecer incomum hoje, já que empresas como o Twitter e o Facebook têm enfrentado enormes problemas com bots nos últimos tempos. O que o diferenciou dessa vez, é que uma maneira de os fraudadores encontrarem aplicativos para seu esquema, era adquirindo aplicativos legítimos e transferindo todos eles para empresas-fantasma. Dessa maneira, então, era capturado o comportamento dos usuários humanos do aplicativo e programado uma vasta rede de bots para imitá-lo, segundo análise da Protected Media, empresa de segurança cibernética e detecção de fraudes que analisou os apps e sites a pedidos do BuzzFeed News.

 

Fonte: Extreme Tech

 

Isso significa que uma parcela significativa dos milhões de proprietários de telefones Android que fizeram o download desses aplicativos foi rastreada secretamente enquanto o utilizavam. Ao copiar o comportamento real do usuário nos aplicativos, os fraudadores conseguiram gerar tráfego falso que contornava os principais sistemas de detecção de fraudes. “Este não é um esquema de fraude comum”, disse Asaf Greiner, CEO da Protected Media. “Estamos impressionados com os métodos complexos que foram usados para construir este esquema e é igualmente impressionante a capacidade dos criminosos permanecerem sob o radar”.

Além disso, em resposta ao relatório do BuzzFeed, o Google explicou como o botnet – apelidado de TechSnab – trabalha para aumentar a receita publicitária criando botnets para visitar páginas da web. “Esses botnets direcionaram o tráfego para um conjunto de sites criados especificamente para essa operação, e geraram receita com o Google e com muitas trocas de anúncios de terceiros” disse a empresa.

O Google, por sua vez, estimou que o valor em dólares dos anunciantes impactados pelo site de buscas estava abaixo de US$ 10 milhões, e que “a maioria dos gastos do anunciante impactados era proveniente do tráfego inválido no inventário de redes de anúncios de terceiros e não pertencentes ao Google”. Além disso, a empresa informou que removeu todos os aplicativos envolvidos no esquema esta semana, e colocou na sua “black list” aplicativos e sites adicionais que estão fora da rede de anúncios, garantindo que os anunciantes que usam o Display & Video 360 – anteriormente conhecido como DoubleClick Bid manager) não comprem esse tráfego.

 

Por que o marketing digital deve se importar com esse esquema de fraude?

Na última semana, vimos duas grandes histórias envolvendo fraude digital, com grandes implicações. A empresa de métricas de aplicativos AppsFlyer estimou que entre US$ 700 milhões e US$ 800 milhões foram roubados apenas de aplicativos móveis no primeiro trimestre deste ano, um aumento de 30% em relação ao ano anterior. A análise mais recente da Pixalate sobre fraudes no aplicativo descobriu que 23% de todas as impressões de anúncios em aplicativos para dispositivos móveis são, de alguma forma, fraudulentas. No geral, a Juniper Research estima que US$ 19 bilhões serão roubados este ano por fraudadores de anúncios digitais, mas outros acreditam que o número real poderia ser três vezes maior. Além disso, a Adobe também estimou que até 28% de todo o tráfego na web pode ser impulsionado por bots. Os números são alarmantes, e nos mostram como o assunto deve ser tratado com seriedade.

O foco deste esquema em aplicativos Android também expõe a presença de fraude, malware e outros riscos que afetam o ecossistema móvel do Google e os usuários que dependem dele. Especialistas dizem que um esquema como esse tem como alvo o Android, em parte por causa de sua enorme base de usuários, e porque a loja Google Play tem um processo de revisão de aplicativos menos rigoroso do que a App Store da Apple. Aplicativos Android são comprados e vendidos, injetados com código malicioso, redirecionados sem o conhecimento dos usuários ou do Google ou, como neste caso, transformados em mecanismos de fraude. (o que não significa que a App Store da Apple esteja imune a ataques maliciosos: um pesquisador de segurança revelou recentemente que um aplicativo top pago está transmitindo secretamente dados de navegação do usuário para um servidor na China.)

O Google disse ao BuzzFeed News que remove rapidamente todos os aplicativos que violam as políticas da Play Store e que, no ano passado, derrubou mais de 700.000 aplicativos que estavam em violação. Também enfatizou seu compromisso de combater fraudes com anúncios implementando padrões como o ads.txt. “Levamos a sério nossa responsabilidade de proteger os usuários e fornecer uma ótima experiência no Google Play. Nossas políticas de desenvolvedor proíbem a fraude de anúncios e o abuso de serviços em nossa plataforma e, se um aplicativo violar nossas políticas , nós agimos”, disse um comunicado enviado por e-mail de um porta-voz da empresa.

As redes de anúncios e as trocas de anúncios usadas pelo esquema incluem grandes players, como os operados pelo Google, o que significa que essas empresas ganharam comissão se os anúncios mostrados aos bots não foram detectados. Não há evidências de que o Google ou qualquer outra empresa saiba que o inventário é fraudulento.

Depois de receber uma lista dos aplicativos e sites conectados ao esquema, o Google investigou e descobriu que dezenas de aplicativos usavam sua rede de publicidade para celular. Sua análise independente confirmou a presença de uma botnet direcionando o tráfego para sites e aplicativos no esquema. O Google removeu mais de 30 aplicativos da Play Store e encerrou várias contas de editores com suas redes de anúncios, além de afirmar que antes de ser contatado pelo BuzzFeed News, já havia removido anteriormente 10 aplicativos do esquema e bloqueado muitos dos sites. Ele continua a investigar e publicou uma postagem no blog para detalhar suas descobertas.

 

A Coligação contra a fraude de anúncios

Pudemos perceber, portanto, que a fraude tem sido excessiva na publicidade digital. Mas como os profissionais de marketing sabem o que é fraude?

Para ajudar a definir essa resposta, a Coalition Against Ad Fraud (CAAF) divulgou, na última quinta-feira (26/10), o que diz ser o primeiro documento padronizado sobre o tema “Definições de esquema de fraude móvel”.

Fundada há cerca de um ano pela empresa de atribuição de dispositivos móveis Adjust, a CAAF agora tem duas dúzias de membros, incluindo a ironSource, a Vungle, a InMobi e a AdColony. A razão para lançar este documento, de acordo com a organização, é contrapor a “desinformação por aí quando se trata do que é fraude em publicidade móvel”, e tem como público-alvo anunciantes, redes de fornecedores, fornecedores terceirizados e outros participantes do setor.

Enquanto a CAAF lança o seu primeiro documento de definição de fraude, outras organizações também já se posicionaram sobre o tema. Em 2013, por exemplo, o Interactive Advertising Bureau (IAB) publicou um guia de práticas recomendadas para reduzir a exposição a fraudes de tráfego, que inclui descrições de como os robôs de tráfego geram tráfego falso e como eles “infectam sistemas legítimos”. Além disso, um documento do IAB de 2014 destacou “Princípios antifraude e taxonomia proposta“, com definições de itens como “rastreador disfarçado de usuário legítimo”, “tráfego de proxy” e tags falsas.

O relatório da CAAF, que observa que a fraude em anúncios para dispositivos móveis inclui impressões falsificadas, instalações falsas e spam de cliques, faz uma distinção entre fraude de conformidade e fraude técnica. A fraude técnica explora uma plataforma de atribuição e análise para “imputar a atribuição [ou] introduzir uma conversão falsa”, enquanto a fraude de conformidade envolve a utilização indevida de um pedido de inserção. De acordo com a organização, os esquemas de fraude técnica incluem fraude de instalação/conversão e fraude de atribuição, enquanto esquemas de fraude de conformidade incluem:

  • Segmentação falsa (especialmente segmentação geográfica);
  • Mistura de fontes de tráfego indesejadas;
  • Entrega de anúncios em quantidade exagerada propositalmente;
  • Retomada não-autorizada de ofertas

E por que essas informações são importantes para profissionais de marketing?

Embora a fraude na publicidade tenha se tornado uma grande preocupação para os profissionais de marketing, abordar o assunto requer o entendimento das suas dimensões. A visibilidade de um anúncio, para dar um exemplo, pode ser uma fraude se for deturpada pelo vendedor do inventário ou pela troca, mas apenas se as especificações (% de pixels durante o período de tempo visto) estiverem fora de algum padrão.

Os dispositivos móveis têm seu próprio conjunto de vulnerabilidades que também exigem diretrizes de definição específicas da plataforma, por exemplo, como atribuir uma instalação de aplicativo a um determinado anúncio para celular quando pode haver outros drivers por trás desse download. Como a população de dispositivos de Internet das Coisas, carros inteligentes e TVs conectadas se conectam a dispositivos móveis e computadores, determinar o que é fraude, o que é uma má implementação técnica e o que é uma expectativa irrealista exigirá um conjunto acordado de definições do setor.

Clique para comentar

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Início