Мобильный фрод 2024: почему вы теряете большие деньги на рекламе

Топ-3 вида фрода по распространенности — ботовый трафик, кликфрод и размещение на несогласованных площадках. Как их распознать и что с ними делать — в статье.

Мобильный фрод 2024: почему вы теряете большие деньги на рекламе

Что такое мобильный фрод?

Фрод — это невалидный трафик, искусственно созданный для искажения показателей рекламы или симуляции пользовательской активности.

«Фрод давно вышел за рамки блэклистов — он превратился в сложный инструмент, который маскируется внутри продукта и охватывает рынок».

Камил Балтаев
Руководитель отдела медиабаинга

В 2024 году около 99% рекламодателей сталкиваются с фродом в мобильных кампаниях, а 34% его даже оплачивают. Фрод активно растет, поскольку крупные источники рекламы становятся дороже, а политика конфиденциальности App Store и Google Play ужесточается. Это толкает рекламодателей в сомнительные in-app сети, где фрода гораздо больше, чем в популярных источниках, вроде Facebook Ads или VK Ads.

Россия — в топ-5 стран с наибольшим уровнем фрода, особенно в категориях «Финансы», «Казино и ставки», «Шопинг». В играх фрод встречается реже — вероятно, из-за технической подкованности аудитории.

Типы фрода в in-app рекламе

Видов фрода бесчисленное количество. Для вашего удобства мы разбили его на три группы.

№1. Перехват атрибуции

Цель — присвоить себе установку или другое целевое действие и переатрибутировать на свой рекламный канал, чтобы получить деньги за якобы привлеченного пользователя. Основные виды перехвата: клик-флудинг и инъекция кликов.

  • Клик-флудинг

Партнер-злоумышленник генерирует поток кликов в надежде «зацепить» конверсию, используя last-click атрибуцию.

  • Инъекция кликов

Здесь происходит не просто генерация множества кликов, а целенаправленное перехватывание нужного действия (установки) и ее переатрибуция к платному каналу.

Как это работает? Скамеры устанавливают на телефон вирусное приложение, через которое подсматривают за действиями пользователя. И в момент, когда человек скачивает приложение — подделывают клик и перехватывают органическую установку.

№2. Фейковые установки

Этот вид фрода включает имитацию установок и действий в приложении с помощью ботов, девайс-ферм и SDK-спуфинга. К примеру, на Android в 2023 году фейковых установок стало на 154% больше, тогда как на iOS их число снизилось.

  • Ботовый трафик

Боты — это программы, которые автоматически «кликают», устанавливают и даже регистрируются. Они создают более 70% фрода по всему миру, кроме Ближнего Востока и Северной Африки, где показатель — 68%.

  • Девайс-фермы

Это множество смартфонов и планшетов, на которых ботами имитируется реальная активность. Чтобы скрыть следы, мошенники используют прокси и VPN для смены IP-адресов.

  • SDK-фрод

Самый глубокий и опасный тип фрода, когда боты, которые скрыты в коде приложения или на сервере, создают фальшивую активность — клики и установки.

№3. Мотивированный трафик

Биржи с людьми, которым буквально платят деньги за то, чтобы они установили приложение и не удаляли его какое-то время.

Работа с фродом в мобильном маркетинге

Этот раздел был подготовлен при поддержке Валерии Шубиной, консультанта по мобильному маркетингу.

Вот что важно проверить, когда речь идет о борьбе с фродом.

Конверсия из клика в установку (CR CTI)

Смотрим конверсии в цепочке:

Click -> Install -> Event (целевое действие).

И сверяем их с KPI. Нормой конверсии из клика в инсталл считается уровень 0,1-3%. Если показатель CTI выходит за эти рамки, это может сигнализировать о фроде, например, клик-флудинге или инъекции кликов, где трафик переатрибутирован.

Conversion rate Click-to-interest
Conversion rate Click-to-interest

Время от клика до установки (CTIT)

Этот показатель отражает, сколько времени проходит с момента клика до установки приложения пользователем.

Click-to-Install Time
Click-to-Install Time

В случае клик-флуда этот период времени обычно затягивается, потому что злоумышленники не контролируют пользователя и не могут точно предвидеть момент установки, а значит — они не в силах быстро переатрибуцировать клик. Поэтому, если CTIT превышает 24 часа, это может быть признаком клик-флудинга.

С инъекцией кликов, наоборот, CTIT часто слишком короткий, менее 10 секунд, поскольку вредоносное ПО моментально генерирует фейковый клик для переатрибуции.

Аномалии CTIT
Аномалии CTIT

Естественный трафик, как правило, не показывает такой четкой закономерности в распределении CTIT, как в in-app 2 и 3. Аномалии, которые выходят за стандартные показатели, обычно говорят о наличии фрода.

Алгоритмическое, то есть искусственное распределение CTIT легко заметить по нескольким признакам:

  • Четкая закономерность и повторяемость:

    CTIT меняется по определенному шаблону или циклу.

  • Сгруппированные значения:

    показатели CTIT чаще всего сосредоточены вокруг конкретных значений, например, 5, 15 или 25 секунд.

  • Отсутствие естественного разброса:

    вместо характерного для качественного трафика разброса значений CTIT выглядит слишком ровным, без резких скачков или провалов.

  • Регулярные колебания:

    периодические изменения значений CTIT, например, каждые N дней или часов.

Мониторинг бирж

Отслеживайте площадки на наличие офферов, которые продают мотивированный трафик.

RAW выгрузки (AppsFlyer) и агрегированные выгрузки (Adjust)

RAW-выгрузки представляют собой данные конверсий (клики, установки, покупки), полученные напрямую из Appsflyer за весь период, без учета когорты. В отличие от агрегированных отчетов (Adjust), в этих отчетах можно оценивать каждую точку данных индивидуально.

Анализ RAW-данных позволяет:

  • Выявить признаки post-attribution фрода — подозрительные установки и другие события, произошедшие значительно позже клика.

  • Обнаружить аномалии в текстовых полях, которые могут указывать на SDK-фрод.

Ищем SDK-фрод: ключевые признаки и практический пример

SDK-фрод — один из наиболее сложных для отслеживания видов фрода, поскольку он эффективно скрывается от MMP (трекеров мобильных данных). Трафик генерируется внутри приложений через SDK и выглядит как активность реальных пользователей: меняются идентификаторы устройств, IP-адреса и данные мобильных операторов.

Самая надежная тактика борьбы — регулярный анализ RAW-выгрузок (или стандартных выгрузок в Adjust) и внимание к показателям. Например, текстовые аномалии, о которых мы писали ранее: если мобильный оператор отображается с ошибкой или в названии устройства вместо «iPhone» указано «Ipbone» — это серьезный повод для проверки.

Наш уникальный кейс с SDK-фродом

Мы запускали рекламу приложения Grut, с которым сотрудничали и другие партнёры. Среди них оказались мошенники.

Как всё произошло?

  1. Мошенники получили доступ к токену приложения Grut и ключевым событиям в MMP.
  2. Создали пустое приложение, встроив туда SDK того же MMP, что у Grut.

  3. Использовали в своем приложении токен приложения Grut и токены ключевых событий.

  4. Затем привлекли к своему приложению дешевый мотивированный трафик через свою агентскую ссылку.

  5. Мотивированные пользователи либо совершали действия, либо мошенники имитировали эти события, передавая их в MMP под видом легального трафика.

Как поступил рекламодатель? Поскольку фрод проходил на уровне токенов событий, трафик в MMP выглядел безупречно. Однако, сверив данные из MMP с продуктовой аналитикой, рекламодатель обнаружил существенные расхождения. На время расследования весь рекламный трафик был отключен, что ударило по добросовестным партнерам и по рекламодателю.

Будьте внимательны при выборе подрядчиков: доступ к токенам мог быть получен из-за сговора или недосмотра со стороны менеджера рекламодателя или MMP.

Памятка о том, как выбрать партнера
Памятка о том, как выбрать партнера

Особенности антифрод-систем: на что обращать внимание

Ведущие антифрод-системы MMP обычно не отслеживают view-fraud, так как не анализируют view-трафик. Поэтому важно дополнительно оценивать объёмы конверсий по типам атрибуции (view/click): значительный объём view-трафика может сигнализировать о фроде.

Также нужно дополнительно расчитать показатель VTIT (view-to-install time) — промежуток между показом рекламы и установкой приложения. Он помогает выявить некорректные установки, которые приписываются показам из-за фрода.

Protect360 в Appsflyer

Protect360 способен отсеивать трафик только с CR CTI ниже 0,1%. Его функционал позволяет оценивать, оптимизировать и блокировать рекламные источники на уровне Site ID и Publisher ID для точного контроля бюджета, ставок, таргетинга и исключения фродовых источников.

Что проверять в отчете Protect360:

  • LAT Devices — устройства с продолжительным временем простоя. Их доля не должна превышать 5%.
  • Assists — это установки, возникающие при привлечении одного и того же пользователя через разные рекламные каналы. В качестве ассистирующих вовлечений могут выступать клики или показы. При этом они должны находиться в пределах окна атрибуции, указанного для данной ссылки. А их доля не должна превышать 100%, и количество таких установок не может быть больше основных.

  • Retention — удержание пользователей: на 3-й день должно быть более 2%, на 7-й день — по заданным бенчмаркам.

FraudScore в AppMetrica

В борьбе с фродом стараются не отставать и другие сервисы аналитики. 11 ноября этого года AppMertica интегрировала антифродовый сервис FraudScore.

Что проверяет система:

  • Качество трафика — оценивает источники трафика и позволяет блокировать подозрительные площадки.

  • Атрибуционный фрод — выявляет клик-спам и инъекцию кликов.

  • IP и устройства — находит подозрительные манипуляции с IP-адресами и эмуляторы устройств.

Система доступна в пакетах Custom и Pro, с гибкими тарифами в зависимости от объема проверяемых установок.

Прогнозы на 2025 год

  • Эксперты прогнозируют рост использования искусственного интеллекта в антифрод-системах. Это повысит точность идентификации мошенников и упростит анализ данных.
  • «Коммерсантъ» со ссылкой на предварительную версию федерального проекта «Инфраструктура кибербезопасности» сообщает, что в 2025 Минцифры планируют создать единую платформу «ТелекомЦерт», которая будет служить в целях борьбы с мошенничеством в интернете. Помимо банков и операторов связи к ней могут подключить соцсети, а также разработчиков мобильных приложений.

Памятка маркетолога

Сохраняйте список ключевых метрик, который мы представили ниже, обязательно используйте его в работе с трафиком:

Памятка маркетолога
Памятка маркетолога

А чтобы уверенно оценивать показатели трафика — сохраняйте бенчмарки от Adsup.

Будьте готовы к изменениям — мир мобильного маркетинга меняется быстрее, чем кажется. А если у вас уже были случаи столкновения с фродом, делитесь ими в комментариях. Расскажите, как вы справились с этой проблемой, помогите коллегам избежать ошибок.

11
Начать дискуссию