iGamingNews – новости iGaming

Мошенническая сеть FriendlyDealer имитирует магазины приложений

Компания по кибербезопасности Malwarebytes выявила мошенническую сеть FriendlyDealer, которая использует поддельные страницы Google Play и App Store для перенаправления пользователей на нерегулируемые сайты онлайн-казино.

Схема работы FriendlyDealer

Сеть действует как кампания по социальной инженерии, цель которой — убедить пользователя, что он устанавливает легальное приложение из официального магазина.

На деле пользователь остаётся на веб-сайте и устанавливает веб-приложение, которое затем перенаправляет его на предложения казино по партнёрским ссылкам.

Поддельные магазины приложений

Схема включает как минимум 1500 доменов, каждый из которых имитирует интерфейс Google Play или Apple App Store.

Пользователи видят знакомый дизайн, отзывы и элементы интерфейса, но фактически находятся на стороннем сайте.

Поддельные приложения и бренды

Сеть насчитывает как минимум 20 поддельных приложений под разными названиями.

Среди них — Tower Rush (189 размещений), Chicken Road (97), Beast Games: Ice Fishing (43), а также приложения, имитирующие бренды Revolut и слот Gates of Olympus от Pragmatic Play.

Имитация интерфейса

FriendlyDealer подстраивает отображение под устройство пользователя.

На Android показывается поддельный Google Play, на iPhone — поддельный Apple App Store с соответствующими шрифтами и оформлением.

Механика установки и PWA

При нажатии кнопки «Установить» приложение не загружается напрямую.

Вместо этого создаётся прогрессивное веб-приложение (PWA), которое выглядит как обычное приложение на устройстве.

Поведение PWA

PWA получает собственную иконку, экран запуска и может работать в фоновом режиме через сервисные рабочие процессы.

Также система проверяет, установлено ли приложение ранее, и при обнаружении сразу перенаправляет пользователя на сайт казино.

Платёжная модель и партнёрские комиссии

Сеть не крадёт пароли и не распространяет вредоносное ПО.

Доход формируется за счёт партнёрских комиссий за регистрацию и депозиты пользователей.

По данным Malwarebytes, выплаты составляют от $50 до $400 за каждого пользователя, внесшего депозит.

Алгоритм работы

Кампания использует покупку рекламного трафика, определение типа устройства, показ поддельного магазина и последующее перенаправление пользователя на казино.

Таким образом создаётся цепочка, где каждый этап ведёт к партнёрскому вознаграждению.

Структура и повторное использование кода

FriendlyDealer построена как единый набор инструментов, позволяющий быстро создавать новые варианты сайтов и приложений.

Изменение одного конфигурационного файла позволяет запускать новые бренды за считанные минуты.

Содержимое кода

Исходный код содержит комментарии на русском языке и интеграцию с Яндекс Метрикой.

Эти элементы могли быть унаследованы из повторно используемого или ранее приобретённого кода.

Сбор данных и аналитика

Каждый домен отправляет данные на единый сервер сбора информации — ihavefriendseverywhere[.]xyz.

Передаются параметры браузера, язык, часовой пояс, рекламные идентификаторы и данные пользовательского устройства.

Телеметрия и ошибки

Система фиксирует ошибки JavaScript и отправляет их на сервер вместе с отметкой времени и контекстом.

Если соединение прерывается, данные сохраняются локально и отправляются позже при восстановлении связи.

Реклама и отслеживание

Набор включает интеграции с рекламными платформами Google, Yandex, Facebook и TikTok.

Также используются рекламные идентификаторы и пиксели для отслеживания действий пользователя.

Партнёрские сети

Каждое действие пользователя связывается с уникальным идентификатором, который используется в аналитике и маршрутизации предложений.

Это позволяет отслеживать путь пользователя от перехода до регистрации и депозита.

Механика взаимодействия с пользователем

Пользователь может получить push-уведомления после разрешения доступа.

Уведомления используются как дополнительный канал для возврата пользователя на платформу.

Поведение на устройстве

Система определяет устройство пользователя и подстраивает интерфейс под Android или iOS.

Также используются механизмы перенаправления для открытия страницы в нужном браузере, например Chrome или Safari.

Особенности распространения

Каждый домен работает как отдельная точка входа, но использует один и тот же шаблон.

Достаточно изменить конфигурацию, чтобы запустить новый сайт с другим брендом казино.

Алгоритм сочетает рекламный трафик, поддельные интерфейсы магазинов приложений и партнёрские ссылки для монетизации.