Міжнародні дослідники кібербезпеки викрили масштабну ad fraud-кампанію Pushpaganda, яка комбінує SEO poisoning, генерацію контенту за допомогою штучного інтелекту та агресивне зловживання push-сповіщеннями в браузері. Мета схеми — монетизувати трафік через шахрайську рекламу, scareware та фінансові афери, маскуючись під легітимні новини в стрічці Google Discover.
Масштаб та географія атаки: Android, Chrome і сотні мільйонів рекламних запитів
За даними команди Satori Threat Intelligence and Research компанії HUMAN, оператори Pushpaganda націлюються на персоналізовані стрічки контенту користувачів Android і браузера Chrome. На піку активності дослідники зафіксували близько 240 мільйонів bid-запитів лише за сім днів, пов’язаних із 113 доменами під контролем зловмисників.
Початково основним регіоном була Індія, однак згодом кампанія охопила США, Австралію, Канаду, ПАР та Велику Британію. Фактично зловмисники експлуатують довіру до механізму рекомендацій Google Discover, перетворюючи його на канал доставки scareware, дипфейків та сумнівних інвестиційних і фінансових схем.
Google вже застосувала низку технічних заходів, щоб знизити видимість подібного спаму в своїх сервісах, але випадок Pushpaganda продемонстрував, наскільки вразливою залишається рекламна екосистема до комбінованих атак, що базуються на AI-контенті та агресивній SEO-оптимізації.
Як працює Pushpaganda: від SEO poisoning до шахрайських редиректів
SEO poisoning та AI-контент для маніпуляції Google Discover
Ключовий елемент кампанії — SEO poisoning, тобто цілеспрямоване отруєння результатів пошуку й рекомендацій. Оператори Pushpaganda створюють мережу сайтів із AI-згенерованими «новинами», стилізованими під актуальні репортажі, аналітичні матеріали чи розслідування. Завдяки SEO-оптимізації, клікбейт-заголовкам і трендовим ключовим словам ці сторінки потрапляють у Google Discover і виглядають легітимними для пересічного користувача.
Зловживання push-сповіщеннями в браузері
Після переходу на такий ресурс відвідувачу нав’язливо пропонують увімкнути push-сповіщення. Формально це стандартний механізм браузера, який дозволяє сайтам надсилати короткі повідомлення навіть тоді, коли вкладка закрита. У рамках Pushpaganda цей канал перетворюється на постійну «трубу» доставки шахрайського контенту.
Погодившись на розсилку, користувач починає отримувати сповіщення з агресивними й терміновими формулюваннями: фейкові юридичні претензії, попередження про «критичні» проблеми системи, вигадані загрози безпеці або «унікальні фінансові можливості». Клік по такому повідомленню веде на інші сайти, що контролюються зловмисниками, де розміщується реклама, кліки по якій генерують незаконний рекламний дохід. Оскільки трафік надходить із реальних пристроїв та справжніх браузерів, стандартні антифрод-системи сприймають його як органічний, що суттєво ускладнює виявлення шахрайства.
Шахрайські push-сповіщення: не нова, але еволюціонуюча загроза
Зловживання браузерними push-сповіщеннями фіксується вже кілька років. Наприклад, ще в 2025 році фахівці Infoblox описували діяльність актора Vane Viper, який систематично використовував сповіщення для агресивної реклами та соціальної інженерії за схемою ClickFix.
Як зазначають аналітики HUMAN, push-сповіщення створюють у користувача відчуття терміновості й тиску часу. Багато людей натискають на них лише для того, щоб «прибрати» нав’язливе повідомлення або дізнатися, у чому проблема. Ця особливість робить канал особливо привабливим для операторів malware та рекламного шахрайства.
Low5 і BADBOX 2.0: ринок «відмивання» рекламного трафіку
Розкриття Pushpaganda відбулося невдовзі після публікації HUMAN про ще одну масштабну ad fraud-екосистему — Low5. Ця операція охоплювала понад 3 000 доменів і 63 Android-додатки та стала одним із найбільших виявлених ринків «відмивання» рекламного трафіку.
На піку активності Low5 генерувала до 2 мільярдів bid-запитів на добу, впливаючи на до 40 мільйонів пристроїв у всьому світі. Інфіковані мобільні додатки містили код, який примушував смартфон автоматично відвідувати певні домени та клікти по рекламі. Такі ресурси виконували роль cashout-сайтів (ghost sites) — майданчиків без реальної аудиторії, через які проганяється штучно створений трафік.
Частина цієї інфраструктури використовувалася в більш складних схемах, зокрема BADBOX 2.0. Хоча шкідливі Android-додатки згодом видалили з Google Play, мережа доменів залишилася цінним активом для інших кіберзлочинних груп.
Чому монетизаційна інфраструктура переживає окремі кампанії
За спостереженнями HUMAN, в рамках Low5 використовувався єдиний шар монетизації, який об’єднував понад 3 000 доменів. Такий підхід дозволяє різним групам підключатися до однієї інфраструктури та будувати розподілену систему «відмивання» рекламного трафіку. У результаті зростає стійкість загрози, ускладнюється атрибуція та скорочується час на запуск нових кампаній після блокування старих.
Ключовий висновок: навіть якщо конкретну ad fraud-кампанію або набір шкідливих додатків вдається зупинити, cashout-домени легко переорієнтовуються на нові схеми. Це підкреслює необхідність проактивної pre-bid-фільтрації на рівні рекламних бірж, коли підозрілі домени блокуються ще до участі в торгах.
Практичні рекомендації для користувачів, бізнесу та рекламних платформ
Користувачам варто обережно ставитися до запитів на увімкнення push-сповіщень, особливо на малознайомих сайтах. Рекомендується регулярно перевіряти та чистити список ресурсів із дозволеними сповіщеннями в браузері, своєчасно оновлювати Android та Chrome, а також використовувати рішення для блокування шкідливої реклами й фішингових сайтів.
Організаціям і рекламодавцям доцільно запроваджувати посилені механізми валідації трафіку, співпрацювати з постачальниками threat intelligence, уважно відстежувати аномальні сплески «органічної» активності та інвестувати в технології виявлення ad fraud на рівні інфраструктури.
Комбінація AI-контенту, SEO poisoning та зловживання push-сповіщеннями уже зараз перетворюється на стандартний інструмент кіберзлочинців. Щоб знизити ефективність таких схем, потрібен комплексний підхід: цифрова гігієна користувачів, проактивний моніторинг з боку платформ і системна боротьба з інфраструктурою «відмивання» трафіку. Чим швидше бізнес і користувачі адаптуються до цих загроз, тим менше шансів у наступних кампаній на кшталт Pushpaganda, Low5 чи BADBOX 2.0.
