Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Как мошенники обходят антифрод в мобильных приложениях: ключевые риски и защита

Обновлено 18.07.2026 07:22

 

Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС

Сайт: legascom.ru

Email: petukhov@legascom.ru

Современные мошенники всё чаще делают мошеннические сессии практически неотличимыми от легитимных: используют устройства клиентов без их ведома и активно применяют социальную инженерию. В результате простые антифрод‑правила перестают работать. В статье - какие факторы риска действительно важны, как отличать аномалии от совпадений и как выстроить эшелонированную защиту, которая успевает за эволюцией схем мошенничества.

Почему базовые правила антифрода не работают

Раньше антифрод-системы часто опирались на простые маркеры: время входа и геолокацию. Сегодня эти признаки почти бесполезны:

Время входа. Мошенники активны в те же часы, что и обычные пользователи, поэтому правило «подозрительно, если вход ночью» пропускает значительную часть фрода.

География. Плотность мошеннического трафика совпадает с плотностью обычного - в основном это крупные города.

Несовпадение GPS/ГЛОНАСС и IP. Из‑за массового использования VPN и прокси этот признак сам по себе уже не является маркером фрода: всё больше легитимных пользователей тоже заходят через такие сервисы.

Более показательный сигнал даёт операционная система: свыше 90 % фрода приходится на Android. Причина - открытость платформы: на ней проще устанавливать инструменты взлома, автоматизации и социальной инженерии.

Аномалия - не всегда мошенничество

Фрод обычно проявляется как аномалия: что‑то нехарактерное для обычной сессии пользователя. Это может быть редкая модель устройства, подозрительное приложение или поведение, выбивающееся из привычного шаблона. Но аномалия не равна мошенничеству.

Примеры ложных срабатываний:

у пользователя старая модель смартфона - он просто не обновляет устройство;

на телефоне есть root‑права - владелец экспериментирует с настройками;

резкие движения по экрану - человек спешит или у него плохое настроение.

Чтобы отличать реальный риск от совпадения, смотрят на частоту встречаемости признака во фроде. Эффективными считаются факторы, которые:

встречаются во фрод‑кейсах значительно чаще, чем в легитимных сессиях;

позволяют выявлять большую долю мошеннических операций.

Поэтому защита строится по двум параллельным направлениям: внедрять правила на базе уже найденных факторов и одновременно искать новые, чтобы закрывать разные векторы атак.

Факторы риска на уровне устройства и приложений

Глубокий анализ трафика должен учитывать не только поведение в приложении, но и состояние устройства и установленный софт.

Наиболее опасные классы приложений:

Кликеры - автоматизируют нажатия на экран. Опасны не только в рекламном фроде: могут запускать непредсказуемые цепочки действий.

Клонеры и клоны - позволяют одновременно работать в нескольких аккаунтах.

Спуферы - подменяют идентификационные данные (чаще всего геолокацию).

Логгеры - записывают нажатия, сообщения, звонки, СМС, уведомления, запись экрана.

Приложения для запуска кода (IDE) - дают возможность исполнять произвольный код на устройстве.

Такие приложения часто попадают на телефон из неофициальных магазинов, мессенджеров или браузеров, а пользователь может даже не знать об их наличии. Они получают доступ к специальным возможностям смартфона: читают содержимое экрана и выполняют действия от имени пользователя.

Один из самых сильных индикаторов риска - время установки подозрительного приложения. Если инструмент удалённого управления поставили всего несколько часов назад, вероятность фрода резко возрастает. Для легитимных пользователей установка такого софта не привязана к моменту входа в приложение: они используют его для профессиональных задач или помощи родственникам.

Эта разница объясняется тем, что значительная часть мобильного фрода строится на социальной инженерии: мошенники убеждают жертву установить нужные им приложения и дать разрешения (на удалённое управление, трансляцию экрана, совершение звонков и переводов).

Как выстроить эффективную защиту

Эффективная антифрод‑система не опирается на один признак. Она строит модель взаимосвязей между факторами и анализирует сессию в контексте.

Пример связки факторов:

Активный звонок во время сессии. Большинство таких сессий - фрод, но не все: часть пользователей действительно разговаривает по телефону, параллельно работая в приложении. Одного этого признака недостаточно.

Удалённое управление устройством. В рассмотренных кейсах сессии с этим признаком оказались мошенническими в 100 % случаев. Такой фактор может служить основанием для срабатывания правила.

Пошаговый подход к внедрению защиты:

Собрать полные данные о трафике. Чем больше контекста, тем точнее модель.

Найти или сгенерировать факторы риска. Это могут быть как простые признаки (например, наличие root‑прав), так и сложные комбинации.

Создать правила или модели, которые отличают фрод от легитимных сессий. Параллельно продолжать поиск новых факторов.

Валидировать точность правил и встроить их в систему мониторинга.

Важно понимать: внедрение правил - это не финальная точка, а начало непрерывного процесса. Ландшафт угроз постоянно меняется.

Новые вызовы для антифрод‑систем

Бизнес сталкивается с двумя ключевыми трендами:

Техническое усложнение фрода. В мошеннических схемах участвует всё больше специализированных приложений.

Рост технической грамотности пользователей. То, что раньше считалось надёжным маркером подозрительной активности, сегодня может встречаться у обычных людей.

Из‑за этого профиль пользователя нужно постоянно мониторить, а правила и модели - регулярно корректировать.

Главный вывод

Статичные правила защиты устаревают ещё до внедрения. Чтобы мобильное приложение оставалось контролируемым и защищённым активом, бизнесу нужно перейти от точечных проверок к системе непрерывного сквозного мониторинга. Только комплексный анализ трафика во всех разрезах позволяет успевать за новыми схемами мошенничества и своевременно закрывать уязвимости.