Мобильный антифрод — тема, которую легко откладывать на потом. Установки идут, CR выглядит приемлемо, отчёт выглядит красиво. Проблема в том, что хорошо выстроенный фрод именно так и выглядит: убедительно на поверхности, пусто внутри воронки.
Почему фрод — системная проблема, а не редкий инцидент
Мобильная реклама построена на модели оплаты за результат — установку, событие, целевое действие. Это создаёт сильнейший стимул для фрода: задача недобросовестного источника проста — выглядеть источником нужного события, не будучи им.
По оценкам MMP-платформ и аналитиков рынка, доля фродового трафика варьируется от нескольких процентов в хорошо контролируемых кампаниях до 20–30% в каналах без защиты. Это не страшилка, а структурная реальность: чем крупнее UA-бюджет и менее строгий контроль, тем привлекательнее цель.
Главная сложность: большая часть фрода не видна на уровне сырой метрики «установка». Он проявляется через расхождение между данными MMP и CRM, через аномальные паттерны постинсталльных событий, через декомпозицию по creative ID. Найти его можно — но только если активно искать.
Основные виды мобильного фрода
Понимать виды фрода важно, чтобы знать, где и как его ловить.
Click spam (click flooding). Источник генерирует массу кликов — нередко с реальных устройств — в расчёте «засветиться» последним перед органической установкой. Пользователь нашёл приложение сам или пришёл через другой канал, но атрибуция уходит флудеру. Признак — аномально большой разброс времени между кликом и установкой при низком CR из клика в инсталл.
Install hijacking (перехват установки). Вредоносный код на устройстве перехватывает сигнал об органической установке и подставляет собственный идентификатор. Рекламодатель платит за то, что произошло бы без рекламы. Как устроен такой механизм на практике — разбирали в кейсе по обнаружению перехвата трафика.
SDK spoofing. Технически наиболее сложный вид: фрод-источник эмулирует легитимные SDK-события — открытия, регистрации, покупки — без реального пользователя. В MMP приходят «чистые» события, реальных конверсий нет. Выявляется через верификацию в CRM и анализ поведенческих паттернов.
Device farms и эмуляторы. Сотни физических телефонов или программных эмуляторов имитируют живых пользователей: устанавливают приложение, проходят онбординг, иногда совершают первое действие. Выявляются через device fingerprinting, анализ IP-диапазонов и поведенческие аномалии.
Overlay-реклама. Баннер располагается поверх другого контента и фиксирует клик без намерения пользователя. Особенно хорошо маскируется внутри видеоформатов — когда нет декомпозиции по типу плейсмента, отличить от нормального видеотрафика практически невозможно.
Обнаружение фрода на уровне MMP
MMP — Appsflyer, Adjust, Kochava — первая и обязательная линия защиты. Современные платформы включают встроенный антифродовый модуль: Protect360 у Appsflyer, Fraud Shield у Adjust. Они блокируют часть фрода в реальном времени и маркируют подозрительные события для постанализа.
Что проверять в первую очередь:
- CTIT (Click-to-Install Time). Слишком короткое (секунды) или слишком длинное (сутки и более) — оба признака подозрительны. Нормальный диапазон зависит от вертикали, но аномальное распределение — красный флаг.
- CR клик-в-установку. Аномально высокий CR при большом объёме кликов — признак click spam: источник бомбардирует систему кликами, «ловя» органику.
- Доля rejected событий по издателю. MMP возвращают статус атрибуции. Высокая доля rejected у конкретного паблишера требует аудита.
- IP-аномалии и геосигналы. Несоответствие IP, типа устройства и геолокации — признак эмуляции или прокси.
Встроенные антифродовые правила MMP — публичны и хорошо известны поставщикам фрода. Они адаптируются. Поэтому автоматические блокировки — не финальная защита, а точка старта для ручного анализа.
Декомпозиция по creative ID: где прячется скрытый фрод
Один из наиболее эффективных инструментов выявления скрытого фрода — разбивка трафика до уровня конкретного creative ID или плейсмента, а не анализ источника целиком.
В нашей практике именно этот метод вскрыл проблему в кампании для каршеринга: видеотрафик внешне выглядел корректно, но декомпозиция по creative ID показала, что видеоформат служил контейнером для overlay-баннеров. После разделения форматов CR в целевое действие вырос в разы — подробности в кейсе Ситидрайв.
Что даёт декомпозиция по creative ID:
- Находит конкретный плейсмент с аномальными показателями внутри «нормального» источника.
- Позволяет исключить проблемные позиции точечно, не выключая весь источник.
- Восстанавливает органику, которую заглушал фрод-трафик из того же источника.
Для этого подхода creative ID должен передаваться на уровень MMP и быть доступен для детального среза. Без него декомпозиция невозможна, и фрод внутри источника остаётся невидимым. Сквозная аналитика с трекингом до уровня creative ID — не опция, а необходимость для кампаний с объёмными бюджетами.
Какой уровень фрода считать допустимым
Нулевого фрода не существует — даже в хорошо защищённых кампаниях остаётся статистическая погрешность. Ориентиры, с которыми мы работаем:
- До 3–5% — приемлемо при наличии антифродовой защиты MMP.
- 5–10% — сигнал для аудита конкретных источников.
- Выше 10% — структурная проблема, требующая немедленного разбора.
На хорошо контролируемых кампаниях с верификацией через CRM цифры опускаются значительно ниже. Например, в кампании для Ситидрайв через Kayzen DSP доля фрода составила 0,75%, а объём при этом — более 6 500 установок с реальными первыми поездками. Подробнее — в кейсе Ситидрайв + Kayzen.
Для финтеха и других вертикалей с высоким CPA верификация через CRM становится обязательной отдельным слоем: события MMP технически подделать можно, событие «выдача займа» или «открытие карты» в CRM — несравнимо сложнее. Именно так устроена сверка в нашем подходе к привлечению в финансовых вертикалях.
Антифрод как операционная гигиена, а не разовый аудит
Фрод — не проблема, которую решают один раз. Это постоянно адаптирующаяся система, которую нужно мониторить непрерывно.
Сверка MMP с CRM. Атрибуция в MMP — первичная точка. CRM — точка верификации реального поведения. Расхождение между ними указывает либо на фрод, либо на проблему в атрибуции, которая требует разбора. Для высоких CPA сверка делается на регулярной, а не разовой основе.
Постепенное масштабирование новых источников. Каждый новый источник стартует с ограниченным тестовым бюджетом под усиленным наблюдением. Попытка сразу масштабировать незнакомый трафик — прямой путь к дорогостоящему фроду, который обнаруживается постфактум.
Инкрементальный анализ. Самый точный способ проверить качество источника — проверить, насколько реально вырос результат за счёт этого канала, а не просто изменилась атрибуция. О природе атрибуции в современной мобильной рекламе — в материале In-app-реклама в 2025 году.
Независимый взгляд на данные. Площадки оптимизируют под собственные метрики. Независимая аналитика без конфликта интересов позволяет видеть реальную картину — и именно так выявляются схемы, которые выгодны источнику, но разрушительны для unit-экономики кампании.
Мобильный антифрод — это не паранойя и не попытка найти злой умысел в каждом источнике. Это рабочая гигиена перформанс-маркетинга: поддерживать чистоту данных, чтобы оптимизация давала реальный результат, а не красивые цифры в отчёте. Без неё измеримость канала становится иллюзией — а вместе с ней и весь смысл перформанс-подхода, о котором мы пишем в обзоре глобальных рекламных трендов.
Хотите проверить, сколько из вашего рекламного бюджета реально доходит до целевых пользователей? Расскажите о задаче — проведём аудит источников и покажем, где теряются деньги.