На выходных при заходе на айфонс с мобильных устройств то и дело сами собой раскрывались окна в App Store с предложениями установить две игры: GameTwist Slots и Эволюция: Битва за Утопию. Лишь на данный момент удалось разобраться, как троян без отечественного ведома был внедрен на сайт. Огромное благодарю Дмитрию Яковлеву за помощь.

Сперва мы пеняли на взлом FTP, на внедрение кода через дыру WordPress, на косяки рекламного движка Adfox, что начал показывать чужую рекламу и без того потом. И только в последнюю очередь подозрения пали на AdSense – респектабельную рекламную сеть Google. Как раз через нее преступники стали перенаправлять трафик на установки. Было нужно изрядно покопаться, дабы определить причину.

Итак, вебмастер вставляет к себе на страницу гугловый код, что грузит баннер в зависимости от таргетинга, геолокации, вида устройства и т.п.

Мы увидели, что в App Store перекидывает лишь тогда, в то время, когда в рекламе появляется картина стратегии Empire Four Kingdoms.

На протяжении загрузки безобидного изображения с королем параллельно подгружаются части кода германской сетки adition.com:

Потом, в него при помощи js вставляется следующий iframe c ресурса 478dw.de с упомянутым выше баннером Empire Four Kingdoms…

… и еще одним невидимым фреймом:

width="0px" height="0px" scrolling="no" frameborder="0" marginwidth="0px" marginheight="0px">

В последнем коде исполняется тот самый вредоносный скрипт, что делал переход (методом трансформации location.href) в этого фрейма по ссылке, которая в конечном счете постоянно вела в App Store. Safari наряду с этим послушно открывает карточку приложения в аппсторе.

По иронии судьбы, мы сами сравнительно не так давно пиарили эту игру.
Но честно, посредством конкурса

Ни при каких обстоятельствах бы не поразмыслил, что такое вероятно.

По сути, если вы рекламодатель и разработчик в одном лице, то имеете возможность на любом сайте сливать трафик на собственный софт. Неизвестно, что думает о таком способе раскрутки сам Гугл, но жалоба администраторам AdSense уже послана. Так как на грани репутация самой большой в мире рекламной сети.

Уверен, что подобные махинации используются на тысяче сайтов без ведома их обладателей.

Вебмастерам же советую забанить показ рекламы с соответствующих доменов.

Update: внесение в блокировщик рекламы adition.com и 478dw.de не помогло. Кто знает лекарство, отпишите плз в комментариях.

Update 2: начало перекидывать на новую игру King’s Empire. Причем код уже получил не только на айфонсе, но и на вторых сайтах, применяющих AdSense. Гугл молчит.

Update 3: Узнали ответ Mail.ru

Приношу извинения за досадный инцидент, обрисованный в материале «Дыра в AdSense для «тёмного» SEO по раскрутке партнерских программ и приложений» (http://www.iphones.ru/iNotes/356492). Мы разбираемся с этим прямо на данный момент и в обязательном порядке скажем о итогах.

А до тех пор пока мы подготовили официальный комментарий по этому поводу:

«Компания Adition есть подрядчиком отечественного контрагента Mobpartner. Мы не сотрудничали с ними напрямую, и появившаяся обстановка есть для нас неприятной неожиданностью.

Мы уже направили уведомление партнерам из Гугл о недобросовестных действиях компании Adition, и разглядываем вопрос о прекращении сотрудничества с нашим агентом, допустившим подобный инцидент.

Мы благодарим читателей и администрацию iPhones.ru за данные и приносим извинения за причинённые неудобства.»
Пресс-служба Mail.Ru Group

Благодарю за внимание.
С ув.,
Илья Тёмных