Л — лид, привет, это я, Ф — фрод: как и почем брендам продают несуществующую рекламу в мобильных приложениях

ADPASS и «Постмаркетинг» представляют выпуск #18 рубрики «Энциклопедия обмана». Специалисты по мошенническому трафику (fraud) в мобильных приложениях (in-app) совершенствуют схемы отъема денег у рекламодателей: теперь они делают вид, что поставляют брендам заявки реальных платежеспособных клиентов (лиды). Но потом выясняется, что в дело идут украденные идентификаторы реальных конверсий, которые шустрилы накануне утащили с сайта рекламодателя. Эксперты оценивают этот рынок в 94 млрд рублей, но говорят, что в России уровень фрода в in-app-рекламе достигает 90%.

Что?

На первый взгляд, в рекламной кампании, которую крупная интернет-аптека запустила в мобильных приложениях в конце 2025 года и в которую планировала ежемесячно вкладывать по 8 млн рублей с учетом комиссии медиаагентства, все выглядело нормально: привлеченный мобильный трафик давал хорошие результаты, имели место конверсии в реальные покупки, платежи действительно поступали.

Но за внешним благообразием скрывалась мошенническая схема. Верификатор Admon обнаружил странные дубли. Получалось так, что потребитель видел рекламу на стационарном компьютере или ноутбуке, делал покупку, после чего платформа Appsflyer, отслеживающая и анализирующая эффективность рекламных кампаний, почему-то засчитывала его еще и как конверсию с рекламных форматов, размещенных в мобильных приложениях. В мобильной атрибуции то и дело всплывали те же идентификаторы (ID) заказов, что и на сайте компании.

Вскрыть схему в Admon смогли, детально проанализировав поведение пользователей. Ботов отличало от живых пользователей то, что нормальная последовательность действий в фальшивых профилях отсутствовала. Боты совершали всего два действия – запускали и затем завершали сеанс работы с мобильным приложением. Поиска товаров, просмотра карточек, добавление лекарства в корзину и оформления заказа – всего этого не было. От грубой подделки несуществующих конверсий сценарий отличался тем, что сами заказы почему-то существовали в автоматизированной системе работы с клиентами (CRM) и были оплачены.

Как?

В ходе проверки Admon обнаружил неприятный для онлайн-аптеки сюрприз: выяснилось, что на сайте рекламодателя есть скрипт, который без ведома компании копировал и передавал реальные идентификаторы (ID) конверсий во внешний контур. Краденные ID затем передавались в трекинговую систему Appsflyer как идентификатор конверсии, полученной через мобильное приложение.

Выяснилось, что источник злополучного скрипта — один из партнеров онлайн-аптеки по CPA-трафику (cost per action, оплата за действие). Вебмастер предоставил троянский скрипт: официально он собирал данные для ретаргетинга рекламных кампаний онлайн-аптеки, а неофициально — воровал ID заказов, оформленных через сайт.

Как тут не вспомнить выпуск «Энциклопедия обмана», который был посвящен шпионским кодам на сайте бренда: чересчур доверчивый рекламодатель вряд ли задумывается, что на самом деле делают коды, установленные подрядчиками под видом полезных.

Шустрилы воспользовались неэффективной коммуникацией между отделами онлайн-аптеки. Хотя у рекламодателя есть единая CRM-система, в которой отражаются данные обо всех продажах, но команды, занимавшиеся продвижением на сайте и мобильным трафиком — разные, и каждая из них засчитывала эти покупки как результат своей деятельности.

По итогам расследования Admon обнаружил свыше 45% аномального трафика. Таким образом из бюджета в 8 млн минимум 3,6 млн рублей приходились на фрод. В итоге рекламодатель полностью приостановил in-app-рекламу и не стал платить за липовые конверсии.

Сколько мошеннического трафика в мире?

По данным американо-израильской платформы мобильной атрибуции Appsflyer, общий уровень in-app-фрода на устройствах с операционной системой iOS в мире снизился на 33% в годовом выражении — с 17,5% в I кв. 2025 до 11,7% в I кв. 2026. На устройствах с Android он составил 14–15% в IV кв. 2025 года.

В США уровень фрода на Android в I кв. 2026 года составил 19% против 21% годом ранее. Среди крупнейших рынков самый высокий процент мошеннического трафика в мобильной рекламе в Индии: доля фрода в партнерских сетях в начале 2026 года составила 65% (рост на 14% в годовом выражении). В Великобритании in-app-фрода стало больше на 35% в годовом выражении — 57% вместо 42%. Но активнее всего мошенники осваивают рынок Пакистана: рост составил 74% — рост с 32% до 55%.

Стремительное расширение рынка in-app-рекламы создает идеальные условия для мошенников, сказано в отчете Appsflyer.

Сколько мошеннического трафика в России?

Опрошенные ADPASS и «Постмаркетингом» эксперты так и не смогли дать оценку усредненную оценку уровня мошеннического трафика в мобильных приложениях в России. Верификаторы рассуждают о том, что от 20% до 55% трафика может оказаться мошенническим.

В медиаагентствах приводят цифры, которые вызывают недоумение: что бренды считают нормой 10% фрода и что у неквалифицированных рекламодателей на него может приходиться до 90% рекламных размещений.

Если рекламодатель понимает, что и с какими целями он делает в in-app-рекламе, то уровень фрода в его рекламных кампаниях может быть и 20%. Если же не понимает, то этот показатель может доходить до 90%».

Сергей Игнатов

Технический директор верификатора Admon

По нашим наблюдениям, объем мошеннического трафика продолжает расти. С каждым годом его доля увеличивается примерно на 5–10% от общего объема анализируемого трафика. За последние шесть месяцев мы наблюдаем устойчивую ситуацию, при которой доля подозрительного и мошеннического трафика превышает 50%. Если учитывать весь массив анализируемых кампаний, включая крупных рекламодателей, показатель достигает около 65%. Если исключить наиболее проблемные кейсы и рассматривать усредненную картину по рынку, уровень фрода в in-app-трафике составляет порядка 55%».

Дмитрий Исаков

Генеральный директор верификатора FraudScore

Если говорить про CPI-сети, не имеющие своего источника трафика и закупающие его в непонятных источниках, то объем фрода составляет 70–80%. Уровень мошеннического трафика до 10–20% даже в хороших сетях считается допустимым из-за погрешности алгоритмов систем фрод-мониторинга».

Игорь Зуев

Экс-гендиректор агентства MobiSharks (Kokoc Group)

По оценкам экспертов рынка, рекламодатели считают терпимым, если процент фрода в in-app не превышает 5–10%, в зависимости от источника и критериев определения фрода. От категории продвигаемых приложений и инвентаря тоже многое зависит, и, например, для продуктов, связанных с азартными играми, уровень фрода может доходить до 20–30%, но такие рекламодатели, как правило, осознают и учитывают этот момент при анализе окупаемости кампаний и юнит экономике».

Михаил Цуприков

Гендиректор агентства MGrowth (MGCom Group), председатель комитета по рекламе в мобильных приложениях (Mobile In-App Advertising) Ассоциации развития интерактивной рекламы

Объем рынка in-app-рекламы в 2025 году в 94 млрд рублей, подсчитал Михаил Цуприков для ADPASS и «Постмаркетинга». В основе оценки данные об объеме performance-рекламы в 2025 году по версии АРИР. Эксперт учитывал только рекламный инвентарь в мобильных приложениях, показываемый на аудиторию в России, а также те бренды, которые промаркировали свою рекламу в Едином реестре интернет-рекламы Роскомнадзора.

Как вычислить мобильный фрод?

Основная рекомендация экспертов — перестать надеяться на авось и использовать эффективные инструменты противодействия мошенникам. Речь о проверенных трекерах и верификаторах, которые позволяют вести мониторинг вредоносного трафика. Среди профильных зарубежных верификаторов — компании Appsflyer и Adjust.

Из крупнейших российских интернет-компаний эффективный инструмент сегодня есть только у группы VK: участники рынка говорят, что за последние два года ее сервис MyTracker значительно улучшил распознавание фрода в мобильной рекламе и сегодня является одним из лидеров по этому направлению. Сервис «Аппметрика» от «Яндекса» фрод-мониторинг пока не предлагает, но позволяет включить интеграцию с представленными на рынке верификаторами. Среди независимых российских игроков, специализирующихся на мобильной рекламе, участники рынка выделяют верификаторов Admon и Fraudscore.

Низкая стоимость установки приложения (CPI, cost per install) не всегда однозначное указывает на присутствие фрода. Но определенные ценовые ориентиры у участников этого рынка все же есть. CPI при закупке размещения на всю Россию для приложения службы доставки обойдется в среднем в 350–500 рублей. В высококонкурентных сегментах, например автомобильный, в которых ликвидного трафика мало и сложно найти новых пользователей, одна установка может продаваться за 2–3 тыс. рублей. Наконец, для крупных сетевых клиентов, работающих на массовый рынок, CPI может составлять около 100 рублей.

Цены ниже 50 рублей за установку приложения участники рынка советуют всерьез не рассматривать. CPI по 10 рублей за штуку тоже встречаются, но такая стоимость красноречиво указывает на бот-трафик.

Если стоимость установки приложения ниже 150 рублей – это сигнал к тому, что надо присмотреться. 50-100 рублей – серьезный повод внимательно изучить, что за трафик вы покупаете. При этом надо понимать, что для некоторых сегментов рынка и продуктов с высоким знанием бренда это может быть адекватной ценой: если взять категорию электронной коммерции, то в ней цена установки может быть на уровне 50-100 рублей в зависимости от географии размещения, операционной системы и достаточности аудитории. Есть и ниши, в которых благодаря алгоритмическому таргетингу можно получить установки и по 30 рублей, но объем будет небольшим, и это скорее относится к казуальным игровым продуктам. В 2026 году умный рекламодатель будет смотреть на стоимость активации – ключевого действия, которое делает установивший приложение. Если активация примерно равна цене установки, это будет указывать на фрод».

Михаил Цуприков

Гендиректор агентства MGrowth (MGCom Group), председатель комитета по рекламе в мобильных приложениях (Mobile In-App Advertising) Ассоциации развития интерактивной рекламы

Слишком низкий CPI по сравнению со среднерыночными значениями сам по себе он не доказывает наличие фрода. Мы рекомендуем воспринимать аномально низкую стоимость установки не как доказательство мошенничества, а как повод для более глубокого аудита источника трафика. Оценивать качество трафика необходимо комплексно: анализировать удержание пользователей, конверсии в целевые действия, поведенческие метрики, технические параметры установок и другие показатели качества аудитории».

Дмитрий Исаков

Генеральный директор верификатора FraudScore

На мошеннический трафик в мобильных приложениях указывают аномалии, не характерные для реальных пользователей: низкая конверсия в целевые события после установки, повторяющиеся технические параметры устройств, на которых фиксируется активность, использованием одних и тех же диапазонов IP-адресов.

Базовые параметры одного мобильного устройства могут показаться нормальными, при этом контекст пользовательского поведения внушает подозрения. Часто фродеров выдают так называемые пустые установки: пользователь вроде бы скачал приложение, но сразу после этого перестает им пользоваться или же действует по очевидному шаблону. Один из самых заметных признаков мошеннических схем — необычное распределение CTIT (Click-to-Install Time) времени между кликом по рекламе и установкой приложения. Стандартное окно между кликом и установкой составляет от 30 секунд до 2 минут, а в случае с фродом этот срок в среднем увеличивается от часов до нескольких дней.

Если сеть in-app-рекламы не может показать десятку своих крупнейших поставщиков трафика, то с высокой степенью вероятности она качает фрод. Правда, и у серьезных игроков не обходится без мошеннического трафика. Нередко случается, что их подставляют партнеры-поставщики, которые разбавляют трафик фродовыми установками, а сеть не сразу ловит их на этом».

Игорь Зуев

Экс-гендиректор агентства MobiSharks (Kokoc Group)

В последнее время рынок привычно обсуждает проблемы мошеннического трафика в медийной и и performance-рекламе на стационарных компьютерах и ноутбуках (web), интернет-ТВ (CTV), в алгоритмических закупках (programmatic), но растущему рынку мобильных приложений почему-то не удостоился пристального внимания отраслевых экспертов. Редакции ADPASS и «Постмаркетинга» не покидает ощущение, что пора бы им присмотреться и к рекламе в мобильных приложениях.

Какие еще существуют схемы

Кражу идентификаторов настоящих конверсий эксперты относят к смешанному типу фрода в рекламе в мобильных приложениях. Но есть и более распространенные схемы. Вот основные из них:

Клик-спам (click spam или click flooding): одна из самых старых и массовых схем в мобильном фроде. Мошенники отправляют в трекинговую систему большое количество фиктивных кликов по рекламным ссылкам в надежде перехватить атрибуцию реальных установок. Например, пользователь сам находит приложение в магазинах App Store или Google Play, устанавливает его без контакта с рекламой, но до этого трекинговая система получает фальшивый клик с похожими техническими параметрами устройства. В результате настоящие пользователь и органическая установка могут быть ошибочно засчитаны рекламному партнеру.

Инъекция кликов (click injection): схема чаще встречается на устройствах с операционной системой Android. Пользователь случайно устанавливает на смартфон программу, в которую встроен фродерский механизм. Обычно это простые бесплатные приложения — например, клавиатуры, игры или утилиты. Когда такое приложение видит, что на устройстве начинается установка другого приложения, оно информирует трекинговую систему о фальшивом рекламном клике. Ложный сигнал приходит непосредственно перед установкой приложения, заставляя трекер ошибочно связать этот клик с приходом пользователя. В отличие от клик-спама мошенники не просто массово рассылают клики, а подставляют их в нужный момент.

Подделка событий трекинговой системы (SDK spoofing): злоумышленники изучают, как библиотека (SDK) мобильного приложения передает события в трекинговую систему: установку, регистрацию, покупку или другое целевое действие. Схема связана не столько с приложениями-шпионами на устройстве, сколько с подделкой логики отправки событий в трекер и работает в обеих операционных системах — как Android, так и iOS. Мошенники имитируют со своего сервера действия, связанные с показов рекламы и реакцией на нее, а трекер не в состоянии отличить фиктивные клики, установки и даже целевые действия от настоящих.

Бот-трафик и фермы устройств: установки приложений на мобильных устройствах имеют место, но за ними стоят не реальные пользователи, а ботофермы или фермы смартфонов. Такие системы позволяют массово устанавливать приложения, запускать их и выполнять простые действия по заданному сценарию.