На выходных при заходе на айфонс с мобильных устройств то и дело сами собой открывались окна в App Store с предложениями установить две игры: GameTwist Slots и Эволюция: Битва за Утопию. Только сейчас удалось разобраться, как троян без нашего ведома был внедрен на сайт. Огромное спасибо Дмитрию Яковлеву за помощь.
Сначала мы пеняли на взлом FTP, на внедрение кода через дыру WordPress, на косяки рекламного движка Adfox, который стал показывать чужую рекламу и так далее. И лишь в последнюю очередь подозрения пали на AdSense – респектабельную рекламную сеть Google. Именно через нее злоумышленники стали перенаправлять трафик на установки. Пришлось изрядно покопаться, чтобы найти причину.
Итак, вебмастер вставляет к себе на страницу гугловый код, который грузит баннер в зависимости от таргетинга, геолокации, вида устройства и т.п. Мы заметили, что в App Store перекидывает только тогда, когда в рекламе появляется картинка стратегии Empire Four Kingdoms.
Во время загрузки безобидного изображения с королем параллельно подгружаются части кода немецкой сетки adition.com:
<iframe charset="utf-8" src="http://imagesrv.adition.com/js/acb/uid.html" style="width:0px;height:0px;border:0px;position:absolute;min-width:0px;min-height:0px"></iframe>
Далее, внутри него при помощи js вставляется следующий iframe c ресурса 478dw.de с вышеупомянутым баннером Empire Four Kingdoms…
<iframe src="http://478dw.de/s3e16ewj15tkc5zwedlvj" width="300px" height="250px" scrolling="no" frameborder="0" marginwidth="0px" marginheight="0px"></iframe>
… и еще одним невидимым фреймом:
<iframe src="http://478dw.de/s3e16ewj0tn9c4zwfu17w" width="0px" height="0px" scrolling="no" frameborder="0" marginwidth="0px" marginheight="0px"></iframe>
В последнем коде исполняется тот самый вредоносный скрипт, который делал переход (путем изменения location.href) внутри этого фрейма по ссылке, которая в конечном итоге всегда вела в App Store. Safari при этом послушно открывает карточку приложения в аппсторе.
По иронии судьбы, мы сами недавно пиарили эту игру.
Но честно, с помощью конкурса
Никогда бы не подумал, что такое возможно. По сути, если вы разработчик и рекламодатель в одном лице, то можете на любом сайте сливать трафик на свой софт. Неизвестно, что думает о таком методе раскрутки сам Google, но жалоба модераторам AdSense уже отправлена. Ведь под угрозой репутация самой крупной в мире рекламной сети. Уверен, что подобные махинации применяются на тысяче сайтов без ведома их владельцев.
Вебмастерам же рекомендую забанить показ рекламы с соответствующих доменов.
Приношу извинения за досадный инцидент, описанный в материале «Дыра в AdSense для «черного» SEO по раскрутке приложений и партнерских программ» (https://www.iphones.ru/iNotes/356492). Мы разбираемся с этим прямо сейчас и обязательно сообщим о результатах. А пока мы подготовили официальный комментарий по этому поводу:
«Компания Adition является субподрядчиком нашего контрагента Mobpartner. Мы не сотрудничали с ними напрямую, и возникшая ситуация является для нас неприятной неожиданностью. Мы уже направили уведомление партнерам из Google о недобросовестных действиях компании Adition, а также рассматриваем вопрос о прекращении сотрудничества с нашим контрагентом, допустившим подобный инцидент.
Мы благодарим читателей и администрацию iPhones.ru за информацию и приносим извинения за доставленные неудобства.»
Пресс-служба Mail.Ru Group
Спасибо за внимание.
С ув.,
Илья Черных
Источник:
