Исследователи кибербезопасности раскрыли крупномасштабную схему рекламного мошенничества, которая сочетает SEO poisoning, генерацию контента с помощью искусственного интеллекта и злоупотребление push-уведомлениями в браузере. Кампания, получившая название Pushpaganda, продвигает фальшивые новостные материалы в ленте Google Discover, а затем вынуждает пользователей включать навязчивые уведомления, ведущие к scareware и финансовым мошенничествам.
Цель атаки: пользователи Android и Chrome по всему миру
По данным команды Satori Threat Intelligence and Research компании HUMAN, Pushpaganda ориентирована на персонализированные ленты контента пользователей Android и браузера Chrome. На пике активности с кампанией было связано около 240 миллионов bid-запросов всего за семь дней, распределённых между 113 доменами, контролируемыми злоумышленниками.
Изначально основным регионом поражения была Индия, однако впоследствии кампания распространилась на США, Австралию, Канаду, ЮАР и Великобританию. Представители HUMAN подчёркивают, что злоумышленники злоупотребляют доверием к Google Discover, превращая этот механизм рекомендаций в канал доставки scareware, дипфейков и финансовых схем.
Компания Google уже внедрила защитные меры для снижения видимости подобного спама в своих сервисах, однако сам подход, использованный в Pushpaganda, демонстрирует, насколько уязвимыми остаются рекламные экосистемы к комбинированным атакам на основе AI и SEO.
Как работает схема Pushpaganda: от Google Discover до мошенничества
Ключевой элемент схемы — отравление поисковой выдачи (SEO poisoning) и оптимизация фальшивых новостных страниц под алгоритмы Google Discover. Злоумышленники публикуют материалы с AI-сгенерированным контентом, маскируя их под актуальные новости и аналитические статьи. Благодаря SEO-оптимизации и кликбейт-заголовкам эти страницы попадают в ленту Discover и выглядят легитимно для конечного пользователя.
После перехода на такой сайт посетителю навязчиво предлагается включить push-уведомления. Формально это стандартный механизм браузера, однако в данном случае он используется как канал постоянной доставки мошеннических сообщений. После согласия жертва начинает получать уведомления с угрожающим или срочным содержанием — от мнимых юридических претензий до «критических» системных предупреждений.
По нажатию на такие уведомления пользователь перенаправляется на другие ресурсы, также контролируемые оператором схемы. Там размещены рекламные объявления, переходы по которым генерируют нелегальный рекламный доход. Таким образом, создаётся поток «органического» трафика с реальных устройств, что усложняет выявление мошенничества стандартными антифрод-системами.
Злоупотребление push-уведомлениями: не новая, но эволюционирующая угроза
Использование push-уведомлений в мошеннических целях наблюдается уже несколько лет. Ранее, в 2025 году, специалисты Infoblox описали схему актёра Vane Viper, систематически эксплуатировавшего браузерные уведомления для агрессивной рекламы и социальных инженерных атак по типу ClickFix.
Представители HUMAN отмечают, что push-уведомления создают у пользователей ощущение срочности. Как подчёркивает вице-президент по анализу угроз HUMAN Линдси Кей, многие пользователи «кликают по уведомлению просто чтобы оно исчезло или чтобы получить больше информации», что делает этот канал особенно привлекательным для операторов malware и ad fraud.
Low5: рынок «отмывания» рекламного трафика и связка с BADBOX 2.0
Раскрытие Pushpaganda последовало спустя чуть более месяца после того, как HUMAN сообщила о ещё одной крупной ad fraud-экосистеме — Low5. Эта операция включала более 3 000 доменов и 63 Android-приложения и, по оценке компании, стала одним из крупнейших когда-либо обнаруженных рынков «отмывания» рекламного трафика.
На пике Low5 генерировала до 2 миллиардов bid-запросов в сутки, затрагивая до 40 миллионов устройств по всему миру. Мобильные приложения, связанные с Low5, содержали код, принуждающий устройство пользователя автоматически посещать определённые домены и кликать по размещённой там рекламе. Эти домены выступали как cashout-сайты (ghost sites) — ресурсы без реальной аудитории, через которые прогоняется искусственно созданный трафик.
Часть этих доменов использовалась в рамках более сложных мошеннических схем, включая BADBOX 2.0. Впоследствии вредоносные Android-приложения были удалены из Google Play, однако инфраструктура доменов остаётся ценной для других актёров.
Почему монетизационная инфраструктура переживает закрытие кампаний
По данным HUMAN, в Low5 использовался единый слой монетизации, объединяющий более 3 000 доменов. Эта архитектура позволяет разным группировкам подключаться к одной и той же инфраструктуре, создавая распределённую систему «отмывания» рекламного трафика. В результате повышается устойчивость угрозы, усложняется атрибуция и ускоряется запуск новых кампаний после блокировки старых.
Ключевой вывод специалистов: даже если конкретная мошенническая кампания или сеть приложений будет остановлена, cashout-домены легко переиспользуются другими злоумышленниками. Это требует постоянного, проактивного мониторинга и блокировки таких ресурсов на уровне рекламных бирж ещё до участия в торгах (pre-bid-фильтрация).
С учётом описанных кампаний Pushpaganda и Low5 пользователям и организациям рекомендуется критически относиться к запросам на включение push-уведомлений, регулярно просматривать и очищать список разрешённых сайтов в браузере, своевременно обновлять Android и Chrome, а также использовать решения для защиты от вредоносной рекламы. Рекламодателям и платформам следует внедрять дополнительные механизмы проверки качества трафика, тесно сотрудничать с поставщиками threat intelligence и уделять повышенное внимание аномальным всплескам «органической» активности. Только комплексный подход позволит снизить эффективность подобных схем ad fraud и защитить как конечных пользователей, так и рекламные бюджеты.
