Как мошенники обходят антифрод в мобильных приложениях: ключевые риски и защита
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Сайт: legascom.ru
Email: petukhov@legascom.ru
Современные мошенники всё чаще делают мошеннические сессии практически неотличимыми от легитимных: используют устройства клиентов без их ведома и активно применяют социальную инженерию. В результате простые антифрод‑правила перестают работать. В статье - какие факторы риска действительно важны, как отличать аномалии от совпадений и как выстроить эшелонированную защиту, которая успевает за эволюцией схем мошенничества.
Почему базовые правила антифрода не работают
Раньше антифрод-системы часто опирались на простые маркеры: время входа и геолокацию. Сегодня эти признаки почти бесполезны:
Время входа. Мошенники активны в те же часы, что и обычные пользователи, поэтому правило «подозрительно, если вход ночью» пропускает значительную часть фрода.
География. Плотность мошеннического трафика совпадает с плотностью обычного - в основном это крупные города.
Несовпадение GPS/ГЛОНАСС и IP. Из‑за массового использования VPN и прокси этот признак сам по себе уже не является маркером фрода: всё больше легитимных пользователей тоже заходят через такие сервисы.
Более показательный сигнал даёт операционная система: свыше 90 % фрода приходится на Android. Причина - открытость платформы: на ней проще устанавливать инструменты взлома, автоматизации и социальной инженерии.
Аномалия - не всегда мошенничество
Фрод обычно проявляется как аномалия: что‑то нехарактерное для обычной сессии пользователя. Это может быть редкая модель устройства, подозрительное приложение или поведение, выбивающееся из привычного шаблона. Но аномалия не равна мошенничеству.
Примеры ложных срабатываний:
у пользователя старая модель смартфона - он просто не обновляет устройство;
на телефоне есть root‑права - владелец экспериментирует с настройками;
резкие движения по экрану - человек спешит или у него плохое настроение.
Чтобы отличать реальный риск от совпадения, смотрят на частоту встречаемости признака во фроде. Эффективными считаются факторы, которые:
встречаются во фрод‑кейсах значительно чаще, чем в легитимных сессиях;
позволяют выявлять большую долю мошеннических операций.
Поэтому защита строится по двум параллельным направлениям: внедрять правила на базе уже найденных факторов и одновременно искать новые, чтобы закрывать разные векторы атак.
Факторы риска на уровне устройства и приложений
Глубокий анализ трафика должен учитывать не только поведение в приложении, но и состояние устройства и установленный софт.
Наиболее опасные классы приложений:
Кликеры - автоматизируют нажатия на экран. Опасны не только в рекламном фроде: могут запускать непредсказуемые цепочки действий.
Клонеры и клоны - позволяют одновременно работать в нескольких аккаунтах.
Спуферы - подменяют идентификационные данные (чаще всего геолокацию).
Логгеры - записывают нажатия, сообщения, звонки, СМС, уведомления, запись экрана.
Приложения для запуска кода (IDE) - дают возможность исполнять произвольный код на устройстве.
Такие приложения часто попадают на телефон из неофициальных магазинов, мессенджеров или браузеров, а пользователь может даже не знать об их наличии. Они получают доступ к специальным возможностям смартфона: читают содержимое экрана и выполняют действия от имени пользователя.
Один из самых сильных индикаторов риска - время установки подозрительного приложения. Если инструмент удалённого управления поставили всего несколько часов назад, вероятность фрода резко возрастает. Для легитимных пользователей установка такого софта не привязана к моменту входа в приложение: они используют его для профессиональных задач или помощи родственникам.
Эта разница объясняется тем, что значительная часть мобильного фрода строится на социальной инженерии: мошенники убеждают жертву установить нужные им приложения и дать разрешения (на удалённое управление, трансляцию экрана, совершение звонков и переводов).
Как выстроить эффективную защиту
Эффективная антифрод‑система не опирается на один признак. Она строит модель взаимосвязей между факторами и анализирует сессию в контексте.
Пример связки факторов:
Активный звонок во время сессии. Большинство таких сессий - фрод, но не все: часть пользователей действительно разговаривает по телефону, параллельно работая в приложении. Одного этого признака недостаточно.
Удалённое управление устройством. В рассмотренных кейсах сессии с этим признаком оказались мошенническими в 100 % случаев. Такой фактор может служить основанием для срабатывания правила.
Пошаговый подход к внедрению защиты:
Собрать полные данные о трафике. Чем больше контекста, тем точнее модель.
Найти или сгенерировать факторы риска. Это могут быть как простые признаки (например, наличие root‑прав), так и сложные комбинации.
Создать правила или модели, которые отличают фрод от легитимных сессий. Параллельно продолжать поиск новых факторов.
Валидировать точность правил и встроить их в систему мониторинга.
Важно понимать: внедрение правил - это не финальная точка, а начало непрерывного процесса. Ландшафт угроз постоянно меняется.
Новые вызовы для антифрод‑систем
Бизнес сталкивается с двумя ключевыми трендами:
Техническое усложнение фрода. В мошеннических схемах участвует всё больше специализированных приложений.
Рост технической грамотности пользователей. То, что раньше считалось надёжным маркером подозрительной активности, сегодня может встречаться у обычных людей.
Из‑за этого профиль пользователя нужно постоянно мониторить, а правила и модели - регулярно корректировать.
Главный вывод
Статичные правила защиты устаревают ещё до внедрения. Чтобы мобильное приложение оставалось контролируемым и защищённым активом, бизнесу нужно перейти от точечных проверок к системе непрерывного сквозного мониторинга. Только комплексный анализ трафика во всех разрезах позволяет успевать за новыми схемами мошенничества и своевременно закрывать уязвимости.




