Содержание
Мошенническая кампания Pushpaganda научилась использовать Google Discover как витрину для фейковых новостей. Дальше она разводит пользователей Android и Chrome на разрешение уведомлений и превращает его в бесконечный поток пугающих алертов.
Операцию описала команда HUMAN Satori Threat Intelligence. По их формулировке, «Pushpaganda is, at the highest level, a case of social engineering» — на верхнем уровне это чистая социальная инженерия.
Как Pushpaganda масштабирует скам через Discover и нейросети
Схема держится на двух вещах: персонализированной ленте Discover и контенте, который быстро штампуют ИИ-инструментами. Злоумышленники генерируют статьи и картинки, чтобы они выглядели как «новости» и собирали клики в рекомендациях.
По наблюдениям HUMAN, под кампанию подготовили 113 доменов. На них публиковали сенсационные заголовки и вводящие в заблуждение изображения, рассчитанные на высокий CTR.
Приманки подбирали максимально «триггерные» и простые.
- Псевдо-юридические угрозы: фейковые ордера на арест и «уведомления полиции»
- Финансовые наживки: сообщения о «зачислениях» и «поступлениях на счёт»
- Техно-байки: «смартфон за $100 с камерой 300 Мп»
Что происходит после клика и почему антивирус тут почти бессилен
После перехода на подконтрольный сайт пользователя подталкивают включить push-уведомления. Дальше начинается самое неприятное: уведомления приходят уже с другими сюжетами и не связаны с доменом, где их включили.
HUMAN описывает примеры таких алертов: «пропущенные звонки от родственников», срочные «налоговые проверки», уведомления о «госвыплатах» и «депозитах». Клик по такому уведомлению ведёт на другой домен той же группы.
На страницах встречаются кнопки вроде Apply Now, Claim Now или Join WhatsApp. Но вместо «обещанного» они через JavaScript перебрасывают человека на новые внутренние статьи или другие домены злоумышленников.
Отдельная деталь — ротация страниц в неактивных вкладках. Алгоритм автоматически переключает вкладки по кругу, создаёт дополнительные рекламные загрузки и делает площадки «похожими на качественные» для рекламных сетей.
Классический антивирус или сетевой фаервол здесь помогают плохо. Уведомления живут на уровне браузера, и это часть легального механизма. Поэтому ключевая защита — не давать разрешение незнакомым сайтам.
Масштаб и география: 240 млн bid-запросов за неделю
В пике HUMAN фиксировала около 240 млн bid requests, связанных с доменами Pushpaganda, за один семидневный период. Это показатель масштаба рекламного фрода, который монетизирует трафик и параллельно гонит пользователя по цепочке редиректов.
В рекламных блоках на таких сайтах встречались дипфейки с участием знаменитостей и «медицинских специалистов». Их используют как усилитель доверия и как способ масштабировать конверсию.
Кампания стартовала с фокуса на Индию. Затем она расширилась на США, Австралию, Канаду, ЮАР и Великобританию.
Представитель Google заявил, что компания отсеивает большую часть спама в Discover своими антиспам-системами, и что исправление для конкретной проблемы уже развернули.
По данным HUMAN Satori Threat Intelligence, кампания опиралась на сеть из 113 доменов и в пике генерировала до 240 млн рекламных bid-запросов за 7 дней.
