美國新聞聚合網站Buzzfeed News最近發布深度調查報告，曝光了一起規模龐大的數字廣告騙局，超過125款安卓應用程序和網站被卷入其中，致使數億美元的廣告收益被盜。

Buzzfeed News的報告顯示，去年4月份，史蒂文⋅舍恩(Steven Schoen)收到自稱We Purchase Apps公司代表的電子郵件，宣稱想買他開發的安卓應用程序Emoji Switcher。然而舍恩簡單調查發現，他幾乎無法確認這家公司是否真的存在。We Purchase Apps公司網站稱其總部位于紐約，但地址似乎是一棟住宅。他們的電話號碼歸屬地在英國還有其他幾個地方。

這一切都顯得有點兒怪異，但舍恩并不知道，自己的應用最終會落入一個涉嫌欺詐數億美元的數字廣告騙局中。We Purchase Apps的報價比舍恩預期的更高，則促使他下定決心出售應用。同樣的情況也發生在另外五位應用開發者身上，他們稱將自己的應用賣給了We Purchase Apps公司。

這些應用程序被買走后，它們在谷歌應用店Google Play上的頁面很快被修改，列出4家不同公司作為它們的開發者，它們的地址分別位于保加利亞、塞浦路斯和俄羅斯，這讓人覺得這些應用程序現在有了不同的所有者。但Buzzfeed News調查顯示，這些看似獨立的應用程序和公司實際上都是一起數字廣告騙局的一部分。

超過125款安卓應用和網站卷入這場騙局中，欺詐者建立的前端和空殼公司遍布塞浦路斯、馬耳他、英屬維爾京群島、克羅地亞、保加利亞和其他地方。受影響的應用程序中有十幾款是針對兒童或青少年的，有知情人士估計，該騙局已從許多應用和網站竊取了數億美元廣告收益。

報告中指出，欺詐者通過前端公司從開發者那里購買合法的安卓應用程序，然后將其所有權轉移給空殼公司。網絡安全與欺詐檢測公司Protected Media分析顯示，這些應用隨后會捕捉人類用戶的行為，并編制龐大的聊天機器人網絡來模仿這些行為。接著用真實的數據欺騙用戶，并從應用內支付廣告費用的公司那里獲得數億美元的廣告收入。

這意味著，數以百萬計下載了這些應用程序的安卓手機用戶被秘密追蹤。通過復制應用內真實人類用戶的行為，欺詐者能夠產生繞過欺詐檢測系統的虛假流量。

這是個非常聰明的系統，它將欺詐性網絡流量隱藏于常規用戶數據旁邊，使任何反欺詐系統都難以檢測到它。

另一家欺詐檢測公司Pixalate今年6月首次披露了這場騙局的另一個問題。當時，該公司估計，單個移動應用的欺詐行為每年可能產生7500萬美元廣告收入。在公布調查結果后，Pixalate收到了一封匿名知情者的電子郵件，宣稱被盜的金額接近預估數字的10倍。他還表示，這項業務之所以如此有效，是因為它“與數字廣告領域中許多最大品牌合作，以確保廣告商和資金的持續流動。”

分析服務公司AppBrain的數據顯示，BuzzFeed News確認的應用程序在安卓手機上的安裝次數總計超過1.15億次。大部分都是游戲，其他包括手電筒應用、自拍應用和健康飲食應用。此次騙局涉及的EverythingMe，已經被安裝了2000多萬次。

應用被收購后，它們會繼續獲得維護，以便吸引真正的人類用戶，以掩蓋其制造的虛假流量。這起騙局曝光表明，數字廣告生態系統中存在著非常嚴重的欺詐行為，品牌正損失巨額資金，而整個行業依然未能阻止這種行為。

應用程序度量公司AppsFlyer估計，僅今年第一季度，通過應用程序被盜的資金就有7億至8億美元，同比增長30%。Pixalate對應用內欺詐的最新分析發現，23%的移動應用廣告在某種程度上存在欺詐行為。總體而言，今年數字廣告欺詐者將竊取190億美元，而其他人認為實際數字可能需要增加2倍。

這個數字廣告騙局重點針對安卓應用，部分原因在于其擁有龐大的用戶群體，以及谷歌應用店的審查程序不如蘋果那樣嚴格。在這種情況下，安卓應用程序被買賣，注入惡意代碼，在用戶或谷歌不知情的情況下被重新使用，甚至變成了欺詐的媒介。

谷歌已經意識到此事，并開始采取行動。谷歌在博文中指出，該公司已從應用店及其廣告網絡中刪除了涉及欺詐行為的應用程序。谷歌宣稱其去年刪除了70多萬個違反規定的應用程序，還強調通過實施ads.txt等標準來打擊廣告欺詐的承諾。目前沒有證據表明，谷歌或其他任何公司知道這類廣告欺詐行為。該公司估計，僅通過谷歌廣告網絡，廣告商在受影響網站和應用程序中就被竊取了近1000萬美元。

此外，谷歌不愿透露，卷入騙局的任何應用程序在更換所有權后，或出于任何其他原因，是否受到了后續審查。Pixalate首席技術官阿敏⋅班德利(Amin Bandeali)表示，谷歌應用店對應用及其開發者的持續審查很少，這使得它們很容易成為騙子和其他壞人的攻擊目標。他稱:“應用店可能無意中提供了一個途徑，將欺詐者與廣告買家和賣家聯系起來。雖然這些應用店提供客戶評論、下載數字和其他‘質量’指標，但它們提供的服務卻很少，只能審查應用公司的商業行為、技術和關系。”

為了確定這起數字廣告騙局的主要受益者，BuzzFeed News分析了We Purchase Apps公司的注冊記錄、域名所有權和域名系統數據、谷歌應用店列表以及其他可公開獲取的信息。分析顯示，這些應用程序和網站與馬耳他公司Fly Apps有關。這家公司的所有者包括兩名以色列人歐默⋅安納托(Omer Anatot)和邁克爾⋅阿里⋅伊隆(Michael Arie Iron)，以及兩名德國人托馬斯⋅波澤爾特(Thomas Porzelt)和菲利克斯⋅雷納爾(Felix Reinel)。

其中，安納托是EverythingMe公司的首席執行官，這是Fly Apps旗下同名流行應用的開發者。安納托宣稱自己只負責管理EverythingMe，并將Pixalate發現的欺詐行為歸咎于他們合作過的AdNet Express公司。他說，他的公司向AdNet Express支付了費用，以委托其幫助擴大用戶基礎，任何欺詐都是這些合作伙伴的錯。

目前還不清楚AdNet Express是否是一家真正的公司。除了非常簡單的網站，它幾乎沒有任何在線資料，沒有地址或電話號碼，也沒有引用任何客戶或項目資料。該網站的域名所有權信息列出個虛假的美國郵寄地址，以及虛假電子郵件地址，后者是通過Fake Mail Generator服務生成的。

同時，在BuzzFeed News聯系安納托之后，很多與騙局有關的網站都顯示下線，幾家空殼公司的網站同時被凍結。Fly Apps否認與騙局中的應用、網站或公司有聯系。該公司產品受到很多人喜愛，擁有大量用戶。Fly Apps是一家聲譽卓著的應用開發商，長期以來始終受到廣告合作伙伴和廣告驗證公司的支持。

偽造虛假流量

要想為這場騙局制造令人信服的虛假流量，第一步就是獲得人類用戶使用的安卓應用程序。欺詐者會研究用戶的行為，然后創建聊天機器人(自動化計算機程序)模仿這種行為。這些機器人被加載到包含專門軟件的服務器上，這些軟件使機器人能夠在特定的應用程序中生成流量。

聊天機器人使用虛擬網絡瀏覽器訪問被卷入欺詐案中的網站，幫助這些流量偽裝成人類用戶的瀏覽行為。此后，虛假流量會產生廣告瀏覽量，而廣告瀏覽量又會帶來收入。將真人和機器人混合起來，有助于騙過那些用來檢測虛假流量的系統，因為真實流量和虛假流量看起來幾乎完全相同。顯然，策劃這場騙局的人既熟悉廣告技術行業，也熟悉檢測廣告欺詐的主流數據科學方法。

安納托之前經營著名為Install Labs LTD的公司，主要業務是將惡意軟件和其他軟件分類為“潛在不受歡迎程序”(PUP)，因為它們給用戶帶來了挫敗感，并且經常在未經允許的情況下安裝其他程序。安納托也是Montiera的投資者，這家公司也是開發歸類PUP軟件的公司。與騙局中的應用程序和網站一樣，這些小型應用程序依賴數字廣告創造收入。

波澤爾特和雷納爾之前經營著名為hostimpact.de的主機托管和服務器管理公司，他們擁有廣告和服務器管理經驗，這是這場騙局中所必需的。目前還不清楚伊隆之前從事什么工作，但他是一家塞爾維亞公司的股東，該公司為安卓和其他網絡產品開發移動應用。

騙局浮出水面

今年夏天，Pixalate的數據科學家在名為MegaCast的安卓應用程序中發現了許多令人擔憂的內容，騙局開始浮現出水面。MegaCast的賣點在于，它可以讓用戶在流媒體設備上播放任何視頻，無論何種格式。Pixalate發現，MegaCast有時會顯示其他應用程序的唯一ID，以吸引廣告競價。這意味著，廣告買家會認為，他們是在更受歡迎的EverythingMe應用程序中購買的廣告，而實際上廣告只出現在MegaCast中。

Pixalate發現大約有60個應用程序受到MegaCast欺騙，估計這個騙局每年可以產生7500萬美元的欺詐廣告收入。記錄顯示，迪士尼、歐萊雅、Facebook、沃爾沃和Lyft等主要品牌的廣告都曾被騙。Pixalate在6月份的一篇博客文章中透露了他們的發現，MegaCast很快就被從谷歌應用店移除。但Fly Apps宣稱自己也是MegaCast的受害者，并承諾改進應用。

主要受益者

早在2015年，EverythingMe就已經是谷歌應用店中最有前途的安卓應用之一，累計下載量超過1000萬次，籌集了超過3500萬美元的風險投資。EverythingMe是個“啟動器”，可以幫助組織應用程序和聯系人，并根據用戶使用手機的時間顯示相關信息。但在2015年底，由于沒有獲得外部支持，開發它的公司宣布關閉。

一位不愿透露姓名的前高管透露，2016年，這款應用被悄悄出售，并在2017年初在推特上迅速活躍起來，同時推廣下載鏈接。如今看來，EverythingMe被Fly Apps買下，并由安納托擔任其首席執行官。公司所有權記錄證實，安納托擁有Fly Apps 25%的股份。而MegaCast也是Fly Apps開發的應用，Pixalate發現它是整個廣告騙局的核心。

BuzzFeed News還發現，在廣告欺詐操作中，Fly Apps與許多卷入其中的其他公司、網站和應用程序之間存在密切聯系。谷歌應用店中EverythingMe、Restaurant Finder以及MegaCast的頁面上，都列出了Fly Apps使用的馬耳他地址。同樣的地址也出現在Mobilytics網站上，這家公司是Pixalate發現的最初欺詐事件的中心。有壓倒性的證據表明，這些公司和其他相關公司只不過是欺詐者們為施行騙局而創建的空殼公司。