Крупная мошенническая кампания FriendlyDealer завлекает пользователей на нерегулируемые сайты онлайн-казино через поддельные магазины приложений

Эта схема представляет особую опасность в условиях, когда эксперты отмечают взрывной рост игровой зависимости. Пользователи, обманутые внешним видом и функционалом знакомых магазинов приложений, попадают на площадки, где часто отсутствуют проверка возраста, лимиты на депозиты и механизмы защиты прав потребителей. Таким образом, угроза носит в первую очередь финансовый и социальный характер, хотя и не связана с прямым хищением данных.

Техническая механика обмана: фабрика по производству подделок

В основе кампании лежит единый набор инструментов (kit), который позволяет операторам быстро развёртывать множество различных поддельных страниц. Этот комплект автоматически определяет тип устройства посетителя и загружает соответствующий интерфейс: для Android - фейковый Google Play, для iOS - поддельный App Store. Для усиления правдоподобности используются системные шрифты платформ (Google Sans и San Francisco), а также отключается возможность масштабирования страницы, что затрудняет детальный осмотр.

Контент каждой страницы, включая название приложения, описание, скриншоты и отзывы, управляется через единый файл конфигурации. Изменяя его, злоумышленники создают новые бренды казино. Было обнаружено как минимум двадцать таких брендов, включая "Tower Rush", "Chicken Road" и "BEAST GAMES: ICE FISHING", который незаконно использует имя популярного видеоблогера MrBeast. Отзывы на этих страницах являются сфабрикованными: одни и те же имена пользователей, фотографии и тексты повторяются для разных "приложений".

Ключевым элементом атаки является кнопка "Установить". На Android она использует легитимную функцию Chrome по установке прогрессивных веб-приложений (Progressive Web App, PWA). При нажатии срабатывает стандартное системное диалоговое окно установки, что создаёт у жертвы полную иллюзию загрузки настоящего приложения из доверенного источника. На iOS схема работает аналогично через функцию "Добавить на экран "Домой"" в Safari. В результате на устройстве появляется иконка, внешне неотличимая от обычного приложения, которая, по сути, является закладкой для сайта казино.

Кампания демонстрирует необычно детальную техническую проработку для работы с разными браузерами. Если пользователь переходит по рекламе из Facebook* или Instagram*, где встроенный браузер не может запустить установку PWA, скрипт автоматически генерирует специальную ссылку для принудительного открытия страницы в Chrome (на Android) или Safari (на iOS). Если нужный браузер не установлен, система перенаправляет на его официальную страницу загрузки. Исследователи из компании S.C. подробно описали эти механизмы в своём отчёте, отметив высокий уровень инженерной подготовки авторов.

Сбор данных и монетизация через партнёрские сети

Все развёртывания FriendlyDealer связываются с единым сервером сбора данных по домену ihavefriendseverywhere[.]xyz. На этот сервер в фоновом режиме передаётся телеметрия: язык браузера, часовой пояс, данные пользовательского агента, идентификаторы рекламных кампаний. Более того, система перехватывает и отправляет операторам подробные отчёты об ошибках JavaScript, возникающих на устройствах жертв, что позволяет злоумышленникам отлаживать свой продукт в реальных условиях.

После "установки" поддельное приложение запрашивает разрешение на отправку уведомлений. Если пользователь соглашается, у операторов появляется прямой канал для коммуникации, работающий даже после закрытия приложения. Это повышает вероятность того, что пользователь вернётся на сайт казино.

Монетизация кампании построена исключительно на партнёрских комиссиях (affiliate marketing). Каждая поддельная страница содержит скрытые редиректы на партнёрские трекинговые сети. Когда обманутый пользователь регистрируется на сайте казино или вносит депозит, организаторы FriendlyDealer получают вознаграждение. Эта бизнес-модель объясняет огромный масштаб операции: каждый домен одноразовый, а шаблон позволяет за минуты создавать новые бренды. При выплатах от $50 до $400 за каждого депозирующего пользователя даже низкая конверсия при таком охвате приносит значительный доход.

Кто стоит за кампанией и как защититься

Прямой атрибуции конкретной группе пока нет, однако в исходном коде обнаружены комментарии на русском языке, а также интеграция с аналитической системой "Яндекс.Метрика", популярной в России и странах СНГ. Это указывает на русскоязычный контекст разработки, хотя код мог быть перепродан или повторно использован. Набор также содержит слоты для рекламных пикселей Google, Yandex, Facebook* и TikTok, что свидетельствует о его адаптивности под платные рекламные кампании.

FriendlyDealer - это напоминание о том, что не каждая кибератака направлена на кражу данных. Мошенничество в партнёрском маркетинге, особенно в сфере гемблинга, может финансировать огромные операции, не похищая ни одного пароля. Злоумышленники построили целую фабрику по обману, где один шаблон, оплаченная реклама и сеть партнёрских ссылок создают устойчивую финансовую схему.

Эффективность этой кампании основана на злоупотреблении доверенными элементами цифровой среды. Браузерные функции установки PWA и добавления на домашний экран работают именно так, как задумано. Проблема в том, что страница, которая их запускает, является ложной и тщательно сконструированной, чтобы обмануть конкретную жертву на конкретном устройстве. Пользователям следует быть крайне внимательными при установке приложений, особенно связанных с азартными играми, и всегда проверять, находятся ли они на официальном домене магазина. В случае если подобное "приложение" уже было установлено, его необходимо удалить через настройки системы, а также очистить данные сайта и настройки уведомлений в используемом браузере.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

Domains

• ihavefriendseverywhere.xyz
• valor.bet
• wikis.lifestyle