Российская сеть по публикации мобильных приложений, похоже, заразила миллионы телефонов вредоносным ПО, которое превращает игры в тихие машины для зарабатывания денег.
Основные Выводы
- Миллионы телефонов были заражены вредоносной бот-сетью для мошенничества с рекламой, связанной с российским разработчиком мобильных приложений Adeco.
- После того, как эксперты по кибербезопасности разоблачили мошенничество с рекламой, Adeco переименовала себя в JustMoby и изменила тактику.
- Более 20 различных компаний и разработчиков мобильных приложений имеют связи с Adeco и JustMoby.
- Adeco, JustMoby и связанные с ними издатели опубликовали не менее 200 приложений в Google Play, где они были загружены более 76 миллионов раз.
В октябре 2020 года Максим Карпенко, независимый российский разработчик мобильных игр, сидел в поезде, собираясь отправиться в отпуск, когда друг сообщил ему тревожные новости.
Stavrio Ltd., a little-known company in the U.K., had just filed for a trademark to Karpenko’s most prized work, WorldBox, a “god simulator” mobile game that allows users to create and nurture virtual civilizations.
Карпенко потратил восемь лет на разработку WorldBox, который был загружен миллионы раз. Теперь казалось, что он может потерять все в одночасье. ООО «Ставрио». незаметно воспроизвел игру и предлагал ее в магазинах мобильных приложений под своим собственным именем.
“Я запаниковал и отменил поездку, вернулся домой … и начал искать адвокатов”, — сказал Карпенко OCCRP и его эстонскому партнеру Eesti Ekspress.
Карпенко вспомнил встречу с Александром Новиковым, руководителем мобильных игр, аффилированным с компанией Stavrio Ltd., на конференции игровой индустрии в Минске, Беларусь, годом ранее. Новиков выделялся тем, что был одет в костюм в пространстве, где футболки, джинсы и толстовки были гораздо более обычным зрелищем. Он представился как инвестор в JustMoby, компанию по изданию мобильных приложений, базирующуюся в юго-западном российском городе Тольятти.
Новиков поддерживал связь с Карпенко и в конце концов сделал шестизначное предложение для WorldBox. Не уверенный в искренности Новикова, Карпенко отказался.
Теперь, когда его игра, казалось бы, была украдена, а планы на будущее разорваны в клочья, Карпенко был полон решимости узнать больше о Stavrio Ltd. В ноябре 2020 года Карпенко опубликовал пост на Reddit о нескольких других приложениях, которые Ставрио и другие компании, связанные с Новиковым, выдали за свои собственные.
Месяц спустя Карпенко позвонил с неизвестного российского номера, и мужчина, говоривший по-русски, сказал ему, что у него есть три дня, чтобы удалить посты в Интернете. “Он сказал мне, что просил вежливо, иначе будут последствия”, — сказал Карпенко OCCRP.
Двадцать минут спустя Карпенко получил текстовое сообщение с номерами автомобилей его родственников и домашними адресами. Он подал заявление в российскую полицию, которое видел OCCRP, но он до сих пор не знает, кто стоял за этим сообщением.
Затем Карпенко получил письмо от юридической фирмы, представляющей компанию Novikov and Jigsaw Puzzles LLC, российского издателя мобильных приложений. Переименованная в JustMoby в декабре 2020 года, компания Jigsaw Puzzles LLC была основана в 2018 году после ликвидации компании Adeco Systems, связанной с Новиковым.
The letter threatened legal action unless Karpenko removed his online posts. Karpenko refused, and Novikov sued him for libel. In a separate case, Karpenko is disputing the trademark claims over WorldBox.
But what he didn’t know was that he had stumbled onto a much broader and more sophisticated money-making operation than just the theft of one app.
Drawing on interviews with four former employees and an analysis of leaked software code, OCCRP found that more than 20 companies around the world connected to Novikov and his firms created and disseminated mobile apps, including many outright copies of existing ones, infected with malware that artificially generated ad revenue.
In total, mobile apps developed by JustMoby, Adeco, and related publishers were downloaded almost 80 million times from mobile app stores like Google Play and Apple’s App Store. In many cases, the same apps were marketed under different mobile app publishing company names.
After infecting users’ phones with “trojan” malware, the apps connected to JustMoby and Adeco deployed a variety of techniques, such as spamming fake ad-views and spawning invisible browsers on infected phones without the user’s knowledge, thereby generating what may have amounted to millions in fraudulent revenues. As of 2019, none of the apps appeared to be deploying trojans, but they continued to include software experts say could be used for digital advertising fraud.
Deceptive behavior meant to pump up digital ad revenue is a booming illicit industry. Cybersecurity firm CHEQ estimated losses from digital advertising fraud hover around $35 billion per year — overtaking even credit card fraud, according to a 2019 report.
Contacted by OCCRP, Novikov denied stealing Karpenko’s work, distributing ad fraud malware, or having any connection to most of the mobile app publishing companies that OCCRP has linked to him.
“Neither my company, JustMoby, nor me personally, are in any way interested in short-term profits of any kind, particularly if those are generated by misleading advertisers and partners. We never employ such methods in our work,” Novikov said.