Traffic Arts

🥸 Смотрим новый кабинет Banda Apps Ребята из Banda Apps поделились доступом к своему новому кабинету для арендаторов, так что спешу рассказать о своих впечатлениях. В том, что они его навайбкодили, сомнений нет, но, с другой стороны, когда вы в последний раз писали код руками? 😅 1️⃣ В панели доступны все обычные для сервисов аренды приложений функции: аналитика с подробными графиками за разные периоды, красочный каталог приложений, пошарка кабинетов с возможностью просмотра истории — в общем, таблицы и длинные списки, работать с которыми в традиционных для сервисов аренды ботах не слишком-то удобно. Вдобавок можно управлять своей командой, совершать покупки в магазине за бонусные баллы и заказать кастомное приложение. 2️⃣ Отдельно стоит отметить то, чего, по моей информации, нет у конкурентов вроде Trident и WWA: управление push-уведомлениями с гибкими настройками расписания и возможностью массового импорта из CSV-файлов. Кроме того, ценителям будут интересны графики популярности источников: вы же, наверное, слышали, что Moloco переживает не лучшие деньки? Там можно подсмотреть альтернативы. Однако если вспоминать конкурентов, то нельзя не заметить, что в конце прошлого месяца Banda представила, похоже, самую дорогую подписку на рынке — 1500 $ (ну или 1000 BND, что эквивалентно 5 тыс. установок на T1). По сравнению с конкурентами в кабинете Banda Apps в первую очередь бросается в глаза жёсткая привязка учётных записей к дуровскому Telegram — как-то странно, учитывая украинское происхождение сервиса, и к тому же неудобно. Ну а по существу главное: нет логов кликов и постбеков, то есть проверить "видит" ли Банда твой трафик, если что-то пошло не так, через этот кабинет не получится. ✅ Подводя итог, скажу, что после короткого знакомства кабинет Banda оставляет приятное впечатление. Видно, что работа ещё идёт и что планка взята высокая, например, покупку VIP-подписки запилили только недавно и, вопреки обещаниям, она пока недоступна в кабинете — только у менеджера. В какой-то момент ребята даже отследили попытки моей Qwen раскопать, что у них там ещё готовится интересненького, и сказали, что они всё видят 😄 С нетерпением буду ждать новых функций в кабинете: логов, управления потоками, а там, глядишь, и PWA завезут... Что ж, до новых встреч с Banda Apps, а я пока пойду обновлять карточку Banda в своём каталоге сервисов. 🖼➡ подписаться ▪ чат ▪ каталог сервисов аренды

⚡ Обзор трендов за неделю 👆 Google Play будет оповещать пользователей об удалении приложений из магазина. Вообще-то они и сейчас это делают посредством Play Protect, но это касается только серьёзных угроз (читай: баны за malware). Анализ новых версий Play Store показал, что пользователи будут получать уведомления о прекращении поддержки или добровольном удалении программ разработчиками. Точные сроки запуска функции пока неизвестны, Google не выпускала заявлений на тему. В то же время, специалисты ESET обнаружили новую вредоносную сетку из 28 приложений, в сумме собравшую 7.3 млн установок. Мошенники обещали доступ к журналам вызовов, текстовым сообщениям и даже истории звонков в мессенджере WhatsApp третьих лиц, но на самом деле приложения только подводили пользователя к оплате. Часть приложений полагалась на Google Play биллинг, тогда как другие поддерживали индийскую платёжную систему UPI. В отдельных случаях форма для ввода данных банковской карты была встроена прямо в приложение. В результате вместо реальных данных клиенты получали случайным образом сгенерированные отчёты. Также Google включила для Workspace, Workspace Individual и личных аккаунтов Google функцию Chrome Device Bound Session Credentials — протокол, использующий криптографический чип компьютера для привязки сессионных cookie на удалённом сервере. Таким образом перенос cookie требует и переноса секретного ключа, связанного с сессией. Это заметно усложняет жизнь инфостилерам, а вот антидетект-браузеры наверняка реализуют (или уже реализовали) эмуляцию TPM/Secure Enclave-чипа с сохранением секретных ключей. 👆 Полиция Нидерландов ликвидировала ботнет, состоящий из 17 миллионов заражённых устройств. По данным СМИ, сеть связана с российским сервисом ASOCKS, предлагавшим услуги резидентных прокси. Операция началась после сообщения независимого исследователя, что позволило полиции конфисковать серверы у местного хостинг-провайдера. Ранее исследователи находили другие ботнеты ASOCKS, один из которых состоял из 190 тыс. Android-устройств. 👆 Cloudflare выпустила решение для управления feature-флагами. Flagship легко интегрируется в Workers или посредством OpenFeature SDK в приложения на Kotlin, Swift, Java, JavaScript и других языках. В общем, если вам вдруг нужно что-то подёргать удалённо в своих приложениях, то теперь есть новый легальный способ. Ну, вдруг. 👆 Предустановленное Motorola приложение Smart Feed стало внедрять реферальные коды в ссылки на Amazon: отладка показала, что приложение направляет трафик через специальную рекламную площадку — devicenative.com. Motorola заявила, что поведение было непреднамеренным и уже исправлено. Журналисты считают, что ошибка могла возникнуть на стороне рекламной системы, или же компания решила подзаработать на партнёрских ссылках. 👆 В APK-файле Telegram из APKPure нашли класс DataCollector, которого нет в оригинальном приложении. Отправить приложение в APKPure может любой пользователь, так что APKPure не очень-то и Pure. Модификация сливает всевозможные данные на чей-то сервер в Гонконге, семпл тут. ✏️ Интересное чтение на выходные: обзор протокола MTProto, AI-фреймворк тестирования приложений, почему ANY не возвращает все типы записей, попытка залатать дыры при помощи AI ✈ Топ приложений на радарах 🍩 Lucky Fortune's Match Gems ~ 1 800 установок/день, 57 дней онлайн. Стиль: #aztec 🍩 Big Win Slots ~ 1 600 установок/день, 32 дня онлайн. Стиль: #sevens 🍩 Icy Fishing ~ 1 200 установок/день, 29 дней онлайн. Стиль: #fish #wheel 🍩 Lucky's Vegas 777Slots ~ 1 400 установок/день, 38 дней онлайн. Стиль: #sevens 🍩 Lucky Clover Land ~ 1 000 установок/день, 65 дней онлайн. Стиль: #leprechaun 🍩 Icey Fish 2 ~ 1 300 установок/день, 36 дней онлайн. Стиль: #fish 🔥 Лучшие приложения сервисов аренды (обозначения) 👨‍💻 Joker's Jewels Стиль: #joker 🔫 Ice Pulse Стиль: #fish 👨‍💻 Chicken Road Стиль: #chicken 🔫 Aviator Lift Стиль: #aviator 🔫 Big Win Стиль: #wheel 🦋 Sliced Fruits Стиль: #fruits 🟢Объём блокировок — Низкий. #тренды 🖼➡ подписаться ▪ чат ▪ каталог сервисов аренды

⚡ Обзор трендов за неделю 🍩 Обновился каталог сервисов аренды: добавлен AdKey App, сделано несколько мелких дополнений. А ещё там есть пара статей, за которые не стыдно, например «"Органика" в арбитражных приложениях: бонус или шейв?». С точки зрения SEO, кстати, абсолютно провальный ресурс, Гугл с кайфом выкинул все страницы из индекса. В общем, заходите почитать, а для особо заинтересованных на сайте есть пара easter eggs. 👆 Главным событием недели, наверное, можно назвать Google I/O. Не буду тут перечислять надоевшие заголовки о новой (неудачной) модели 3.5 Flash и устаревшей ещё до выхода Omni. Куда важнее курс, взятый компанией: быстрое и радикальное внедрение ИИ в поиск. Настолько быстрое, что буквально пару часов назад, загуглив "disregard", вы попадали на ответ AI в стиле "как скажешь". Настолько радикальное, что в сообществе уже называют это революцией: сайты больше не представляют никакой ценности сами по себе, они стали просто сырьём для извлечения информации и отображения её в AI Overviews. От этого снижается посещаемость, да так, что некоторые почти закрылись уже сейчас. ИИ в Google проник и в команду Chrome: те выпустили обновления, закрывающие больше 100 уязвимостей, тогда как обычно это число колеблется в районе десятков. Забавно, что нарисовать красивые числа спешили так сильно, что случайно опубликовали подробности незакрытой до сих пор уязвимости, связанной с фоновой работой Service Worker и позволяющей превратить любой браузер на основе Chromium в ячейку ботнета, особенно Edge. Пока Гугл пытается встать у руля новой реальности, ленты профильных изданий пополняются новостями об Android-вредоносах. Специалисты HUMAN Security обнаружили сеть из 455 приложений на 183 C2-доменах, общий объём загрузок — 24 миллиона. Все эти опубликованные в Google Play приложения выступали в роли лазейки (поэтому кампанию назвали Trapdoor), открывающей двери для настоящего вредоноса. Суммарно ботнет генерировал до 659 миллионов мошеннических bid requests в день, а примечателен он тем, что использовал атрибуцию Adjust в качестве kill switch: вредоносная нагрузка не активировалась для органических установок. В середине недели исследователи из Zimperium опубликовали отчёт о другой вредоносной кампании, направленной на жителей Малайзии, Таиланда, Румынии и Хорватии: 250 приложений подписывали пользователей из этих стран на платные сервисы. Кампания оставалась активной на протяжении 10 месяцев, приложения распространяли посредством рекламы на Facebook, TikTok и Google. Подписки выполнялись как при помощи SMS, так и через браузер, причём вредонос способен отключать Wi-Fi, перехватывать OTP-коды подтверждения и Cookies. Подытожить тут хочется заголовком из нового для меня подкаста: початок кінця (точно невідомо, кінця чого, просто таке відчуття). 👆 Apple отчиталась, что в прошлом году в App Store заблокировали 193 тыс. аккаунтов разработчиков, а ещё 138 тыс. регистраций отклонили. Отклонили более 1.2 млн новых приложений и почти 800 тыс. обновлений. 59 тыс. приложений забанили за подмену содержимого и 22 тыс. — за скрытые функции. ✏️ Интересное чтение на выходные: удаление ИИ-вотермарок, где навайбкоженные Photoshop и Excel, сервер на 8-битном микроконтроллере ✈ Топ приложений на радарах 🍩 Farm Lab ~ 900 установок/день, 64 дня онлайн. Стиль: #chicken 🍩 Rustore для Android ~ 4 600 установок/день, 87 дней онлайн 🍩 Mega Win Fruit ~ 1 800 установок/день, 30 дней онлайн. Стиль: #fruits 🍩 Icey Fish 2 ~ 1 100 установок/день, 29 дней онлайн. Стиль: #fish 🍩 Icy Fishing ~ 1 100 установок/день, 18 дней онлайн. Стиль: #fish #wheel 🍩 Build Guard ~ 1 500 установок/день, 51 день онлайн. Стиль: #towerrush 🔥 Лучшие приложения сервисов аренды (обозначения) 🔫 Сhicken R𐍈ad Стиль: #chicken 👨‍💻 Chicken Road Стиль: #chicken 🔫 Aviator Lift Стиль: #aviator 🔥 Tower Luck Стиль: #towerrush 🔥 Icе Fishing Win Стиль: #fish 👨‍💻 Joker's Jewels Стиль: #joker 🟡Объём блокировок — Средний, не считая небольшого всплеска 20 мая. #тренды 🖼➡ подписаться ▪ чат ▪ каталог сервисов аренды

⚡ Обзор трендов за неделю 👆 Google внедрила сразу две новинки, усложняющие жизнь фармерам аккаунтов: требование отправки SMS при регистрации нового Gmail и необходимость аппаратной аттестации устройства при прохождении CAPTCHA. Завязанная на устройство проверка предполагает наличие свежих сервисов Google, так что первыми коллатеральными жертвами этого новшества становятся не только фармеры, но пользователи альтернативных прошивок. Как они собираются это реализовывать на iOS — нужно будет установить приложение! В чатах уже пишут, что нововведения не затронули обычный флоу создания аккаунта при активации нового Android-устройства. То есть алгоритм обхода выглядит так: раздаём на чистое устройство мобильный IP и активируем девайс как обычно. Связано это, скорее всего, с традиционной для Гугла технической невозможностью подтянуть новые испытания на все старые трубки, но рано или поздно и это перестанет работать. А, ну и чтобы жизнь мёдом не казалась, у аккаунтов без привязки телефона забрали 15 ГБ гугл-диска. 👆 Также корпорация добра продолжает раскатывать функции Gemini в Chrome. Фича оценки безопасности страниц, работающая на маленькой локальной модели, не могла работать без этой самой модели, ну а в мире LLM понятие "маленькая" весьма относительно. Инженеры (я напомню, их главного зовут Сундар Пичаи) недолго думая заставили Chrome по-тихому подкачать 4 ГБ-файл weights.bin на все поддерживаемые компьютерные ОС и это сразу же вызвало волну недовольства. Ещё бы: суммарный трафик всех пользователей Chrome мог бы обогревать небольшой город на протяжении года, а удалить эту штуку оказалось так же трудно, как и MailRu Агент. На Android, кстати, интеграцию тоже обновили. Для нас, тем не менее, пока ничего нового: со всеми выкрученными на максимум настройками безопасности Chrome совершенно без проблем открывает PWA-ленды. 👆 Samsung будет автоматически блокировать надоедливые рекламные уведомления. Здесь нужно уточнить, что Samsung — не только один из самых популярных на нашем рынке (имею в виду, арбитражных приложений) производителей устройств, но и самый продвинутый в плане модификации Android. Их прошивка разительно отличается глубокой интеграцией приложений Samsung в систему, поэтому корейцам не составит труда завезти "Блокировку приложений с чрезмерной рекламой": ИИ будет анализировать содержимое уведомлений, и если они носят рекламный характер, то система автоматически будет переводить приложение в режим "deep sleep". В этом режиме приложение перестаёт беспокоить пользователя до тех пор, пока он не откроет его вручную. Вишенка на торте: пользователи Galaxy S26, скорее всего, уже получили обновление, так что функция у них уже работает. Если вы рассылаете пуш-уведомления шесть раз в день — вам есть о чём задуматься. ✏️ Интересное чтение на выходные: история отказа от вайбкодинга, LLM очень хороши в стеганографии, в Steam стремительно растёт число игр на Godot ✈ Топ приложений на радарах 🍩 Rustore для Android ~ 4 600 установок/день, 80 дней онлайн 🍩 Mega Win Fruit ~ 1 400 установок/день, 12 дня онлайн. Стиль: #fruits 🍩 Fruit Coctail ~ 2 200 установок/день, 42 дня онлайн. Стиль: #fruitcocktail 🍩 Golden Gems ~ 1 500 установок/день, 51 день онлайн. Стиль: #aztec 🍩 Fortune Big Gems - Rush ~ 1 300 установок/день, 36 дней онлайн. Стиль: #aztec 🍩 Sweet Candy ~ 1 300 установок/день, 36 дней онлайн. Стиль: #bonanza 🔥 Лучшие приложения сервисов аренды (обозначения) 🔥 Icе Fishing Win Стиль: #fish 🔥 Tower Luck Стиль: #towerrush 🦋 Clown Links Стиль: #joker 👨‍💻 Chicken Road Стиль: #chicken 🔥 Chicken Drive Road Стиль: #chicken 👨‍💻 Chicken Road Стиль: #chicken 🟡Объём блокировок — Средний. #тренды 🖼➡ подписаться ▪ чат ▪ каталог сервисов аренды

⚡ Обзор трендов за неделю 👆 Google решила упростить воронку регистрации в приложениях: благодаря новой функции "Подтверждённая электронная почта" больше не нужно открывать Gmail, чтобы подтвердить регистрацию. Работает на большинстве устройств с Android 9 и выше. Одновременно с этим улучшить жизнь разработчикам решили и в Apple: там предлагают пользователям новый формат подписки, который позволяет оформить подписку в приложении, при этом оплачивая её частями в течение года, со скидкой. Такую подписку нельзя будет отменить, что позволит разработчикам повысить прогнозируемость доходов. Пока из-за юридических ограничений запуск этой функции исключает США и Сингапур. 👆 Неделя у Маска не задалась: он выступает в суде против руководства OpenAI, но его показания уже успели раскрыть неудобные подробности о xAI. Пока Маск пытался доказать, что OpenAI нарушила свою некоммерческую миссию, он рассказал, что его компания использовала дистилляцию моделей конкурента, чтобы копировать их данные — он заявил, что такой подход является "общей практикой" в индустрии. Иронично, что сам Маск судится из-за того, что Альтман и коллеги якобы обманули его, заставив финансировать организацию, которая вопреки их договорённостям стала ориентированной на прибыль. 👆 Украинские хакеры во главе с 19-летним подростком похитили 610 000 аккаунтов Roblox. Они распространяли инфостилеры под видом модов и похищали доступы к аккаунтам, которые часто представляют ценность сами по себе: на аккаунтах мог быть баланс, редкие предметы или оплаченный premium-доступ. По украинским законам, им грозит до 15 лет заключения. 👆 Активисты предупреждают об угрозе для открытого программного обеспечения в связи с программой регистрации пакетов и идентификации разработчиков в Google. Призывают подписать петицию и отказаться от верификации. 👆 Журналисты кратко изложили тот самый цикл статей о Keitaro на русском языке. ✏️ Интересное чтение на выходные: как ChatGPT показывает рекламу, что было до GitHub, бесплатные LLM API ✈ Топ приложений на радарах 🍩 Rustore для Android ~ 4 800 установок/день, 66 дней онлайн 🍩 Fruit Coctail ~ 1 800 установок/день, 28 дней онлайн. Стиль: #fruitcocktail 🍩 Zeus & Plinko ~ 2 000 установок/день, 16 дней онлайн. Стиль: #grece 🍩 Win & Jackpot ~ 1 400 установок/день, 57 дней онлайн. Стиль: #fruits 🍩 The Joker ~ 3 800 установок/день, 44 дня онлайн. Стиль: #joker 🍩 Sweet Candy ~ 1 000 установок/день, 22 дня онлайн. Стиль: #bonanza 🔥 Лучшие приложения сервисов аренды (обозначения) 🔥 Icе Fishing Win Стиль: #fish 🔥 Tower Luck Стиль: #towerrush 🔫 Chicken Hold Road Стиль: #chicken 🦋 Clown Links Стиль: #joker 🔥 Chicken Drive Road Стиль: #chicken 🔫 Рlіnko Tap Стиль: #plinko 🟡Объём блокировок — Средний, усиливается. #тренды 🖼➡ подписаться ▪ чат ▪ каталог сервисов аренды

⚡ Обзор трендов за неделю ↖️ Anthropic выпустила супер-хакера Claude Mythos — модель создала 181 эксплоит для JavaScript-движка Firefox 147, нашла уязвимость в OpenBSD возрастом 27 лет и 16-летнюю уязвимость в библиотеке FFmpeg. Удовольствие, правда, не из дешёвых: общая стоимость 1 000 запусков для сканирования OpenBSD составила ~20 000 долларов. Но и так не спешите доставать свои кошельки — доступ к новинке получают только профессионалы в области безопасности. Скоро можно будет подать заявку, ну или устроиться в Anthropic. ↖️ ФБР извлекла историю входящих сообщений из удалённого приложения на iPhone — они просто вскрыли базу данных с историей пуш-уведомлений. Новость почему-то вызвала определённый ажиотаж в СМИ: хотя данная "уязвимость" довольно очевидна, она шокировала всех, кто испытывал повышенные ожидания к защищённым мессенджерам. Дуров, кстати, уже успел вставить свои пять копеек. Почему Google не анализирует рекламируемые на каждом углу push-уведомления от гемблинг-приложений — загадка. Особенно учитывая, что в Chrome они данную функцию завезли. ↖️ Интересный подход к C&C нашли в новой версии MaskGram Stealer. Специалисты Solar Group обнаружили, что вместо жёстко закодированных каналов управления вредонос сначала обращается к публично доступным профилям-тайникам на Chess, Spotify, Steam и Telegram. Злоумышленник может "на лету" задавать управляющие домены, просто изменяя имя профиля или название плейлиста. Нам бы тоже сгодилось 😉 ✏️ Интересное чтение на выходные: реальная альтернатива Cloudflare, кто такой Сатоши Накамото, порт OS X на Wii, загадка трафика в Pizza Tycoon, одномерные шахматы. ✈️ Топ приложений на радарах 🍩 The Joker ~ 3 200 установок/день, 23 дня онлайн. Стиль: #joker 🍩 King of Egypt Fortune Slots ~ 2 000 установок/день, 65 дней онлайн. Стиль: #egypt 🍩 Joker Jewels ~ 2 000 установок/день, 38 дней онлайн. Стиль: #joker 🍩 Cozy Road ~ 1 200 установок/день, 115 дней онлайн. Стиль: #chicken 🍩 Rustore для Android ~ 5 000 установок/день, 45 дней онлайн 🍩 Win & Jackpot ~ 500 установок/день, 36 дней онлайн. Стиль: #fruits 🔥 Лучшие приложения сервисов аренды (обозначения) 🤐 Road'o'Chick Стиль: #chicken 🦋 Clown Links Стиль: #joker 🔫 Chckn Fill Road Стиль: #chicken 🤐 Fun Road - Luck Chiko Стиль: #chicken 👨‍💻 Grand Casino Стиль: #sevens 🔱 Crane Master Стиль: #towerrush 🟡Объём блокировок — Средний. #тренды 🖼️➡️ подписаться ▪️ чат ▪️ каталог сервисов аренды

⚡ Почти каждый сильный FB-байер рано или поздно смотрит в сторону In-App Это почти естественный маршрут. Сначала ты долго живёшь в Facebook, учишься чувствовать креативы, воронку, объём, а потом в какой-то момент начинаешь смотреть шире. Рынок сам подталкивает к этому: хочется новых масштабов, связок и точек роста. Поймав себя на этой мысли, многие заходят в In-App с уверенностью, что сейчас просто адаптируют свой прежний опыт и профитнутся. А на деле выясняется, что каждый источник живёт по своим правилам, и прошлые привычки здесь не всегда помогают. 🟡 Антон, Key Account Manager Profit Rental, знает это не по разговорам. Он сам прошёл путь от практики в Facebook до настройки кампаний в Google Ads, а сейчас уже со стороны сервиса видит, как команды заходят в In-App, где ошибаются на старте и в каком месте обычно начинают терять деньги. 🟠 Во вторник, 7 апреля в 17:00 (GMT+3), Profit Rental проведёт эфир о том, как перейти из Facebook в In-App и не слить бюджет ещё на этапе входа. Поговорим о разнице алгоритмов, о том, что реально можно перенести из FB, какие ошибки чаще всего стоят командам первых недель тестов, какие креативы работают сейчас и сколько вообще стоит честный заход в In-App в 2026 году. Для тех, кто давно думает о переходе, но не хочет вкатываться в In-App вслепую. 🟠 Зарегистрироваться на эфир

⚡ Обзор трендов за неделю ↖️ 33 несчастья Кейтаро. Неделя началась с того, что Apliteni (компания-владелец Keitaro) стала сильно и систематически получать по шапке — не только на страницах профильных изданий, посвящённых компьютерной безопасности (это для них не впервой), но и в арбитражных каналах (раз, два, три). В принципе, после сворачивания реферальной программы в августе прошлого года, нишу уже успели занять другие решения, так что бросить камень в тонущего — не грех. Беспокойство, однако, вызывает последовательность событий и почва, на которой она разворачивается. В начале недели все обсуждали три статьи (1, 2, 3), вышедшие на Infoblox, и главным образом обвиняющие Keitaro в пособничестве скаму. ЕЮ даже запостил информацию о сокращении штата Apliteni, а ещё позже появились слухи об остановке работы Hide Click, причём они подкрепляются фактом наличия заглушки на платёжной странице сервиса — Hide Click наряду с Adspect и IMKLO упоминаются в статьях. Вдобавок, Hide Click удалили видео об интеграции с Keitaro со своего канала на YouTube. Чем именно компании Infoblox не угодили арбитражные трекеры (там и Binom упомянут), мне понятно не совсем, но публикации именно о Keitaro там появляются систематически, просто раньше партнёрская программа трекера позволяла замять этот факт. Да, действительно, клоакинг и всё такое — вредоносное поведение, но ответственность за его реализацию лежит на плечах пользователей. Так же, как и ответственность за печать настоящего огнестрельного оружия на потребительских 3D-принтерах — на их пользователях, но это не повод запрещать принтеры (вообще, до этого додумались тоже, но не везде). Более того, крупные компании тоже делают это: LinkedIn внедряет вредоносный код на свои страницы, брутфорсом пытаясь установить список браузерных расширений и в случае чего, о ужас, "заклоачить" пользователя! О том, какое казино этот ваш Linkedin и поиск работы вообще, я думаю, мне вам рассказывать не нужно. ↖️ Подъехал отчёт относительно ситуации с AppsFlyer от специалистов Profero, и здесь уже не всё так радужно: аналитики ругают менеджмент за отсутствие прозрачности, а журналисты добавляют, что у компании это не первый инцидент безопасности в 2026 году. В итоге последствия могут оказаться катастрофическими и растянутыми во времени. Масштаб проблемы сопоставим с ещё одним инцидентом, случившимся 1 апреля: при помощи социальной инженерии злоумышленники похитили данные лид-разработчика популярной библиотеки Axios и в течение нескольких часов поставляли инструмент удалённого доступа (RAT) вместе с копиями библиотеки. Как и в случае с AppsFlyer, последствия этой атаки предсказать трудно — всё зависит от целей и навыков злоумышленников (а это, по данным Google, северокорейские хакеры). ✏️ Интересное чтение на выходные: руководство по переводу персональных аккаунтов Play Console в корпоративные, как сделать .NET обфускатор, разбор утёкших исходников клиента Claude Code, размышления по поводу 0-day уязвимости в Telegram ✈️ Топ приложений на радарах 🍩 Rustore для Android ~ 5 300 установок/день, 38 дней онлайн 🍩 The Joker ~ 2 200 установок/день, 16 дней онлайн. Стиль: #joker 🍩 Chick on Fire ~ 1 400 установок/день, 24 дня онлайн. Стиль: #chicken 🍩 King of Egypt Fortune Slots ~ 1 600 установок/день, 58 дней онлайн. Стиль: #plinko 🍩 Tower Drop ~ 1 600 установок/день, 29 дней онлайн. Стиль: #towerrush 🍩 Joker Jewels ~ 1 300 установок/день, 31 день онлайн. Стиль: #joker 🔥 Лучшие приложения сервисов аренды (обозначения) 🤐 Road'o'Chick Стиль: #chicken 🔥 Rush of Towers Стиль: #towerrush 🔱 Crane Master Стиль: #towerrush 👨‍💻 Fun Time Rush Стиль: #crazytime 🤐 Big Tower Crush Стиль: #towerrush 👨‍💻 Grand Casino Стиль: #sevens 🟡Объём блокировок — Ниже среднего. #тренды 🖼️➡️ подписаться ▪️ чат ▪️ каталог сервисов аренды

⚡ Обзор трендов за неделю ↖️ В Telegram обнаружили серьёзную уязвимость — судя по всему, речь идёт как минимум о захвате любого аккаунта без участия его владельца. Сведений о проблеме пока мало: она была замечена на странице Zero Day Initiative, где указано, что при низкой сложности эксплуатации проблема несёт существенную угрозу для пользователей. Проблема имеет оценку 9.8 из 10 по стандартной шкале CVSS. Для примера, известнейшая Heartbleed имела оценку 7.5, а Log4Shell — 10, так что, скорее всего, речь идёт не просто о перехвате данных чатов, а об удалённом выполнении произвольного кода. В WhatsApp тоже была такая и оценка была как раз 9.8. Уязвимости в мессенджерах хорошо продаются. За подобную уязвимость в Telegram наибольшую сумму предлагала, как ни странно, российская компания Operation Zero — минимум 1.5 и максимум 4 млн долларов. ↖️ Unity закрывает IronSource — рекламная сеть проработает до 30 апреля. Компания приобрела IronSource в ноябре 2022 года, а уже в начале 2024-го почти вся исполнительная команда рекламной сети оставила Unity, так что слияние стоимостью 4.4 млрд долларов оказалось неэффективным. Unity отказывается от технологий IronSource в пользу Vector AI, и, по сообщениям компании, выручка даже превышает ожидания. ↖️ Российские власти заблокировали известный archive.today — сайт, который многие любят за его способность обходить пейволлы, ну и просто удобный, а главное, бесплатный онлайн-архиватор, к тому же без рекламы. Это благодаря ему вы можете без проблем читать некоторые статьи по моим ссылкам и просматривать архивные записи, например, заявления сервисов аренды о потерях трафика в их приложениях — да-да, это всё есть в моём каталоге. В последнее время у сервиса начались проблемы с американским правительством и Cloudflare, главным образом из-за анонимной, но, по-видимому, связанной с РФ, персоны владельца архива. Впрочем, сайт продолжает работать и даже располагает .onion-доменом. ✏️ Интересное чтение на выходные: шпаргалка по Claude Code, DOOM запустили на DNS, запуск бортового компьютера Tesla на столе. ✈️ Топ приложений на радарах 🍩 Rustore для Android ~ 5 000 установок/день, 31 день онлайн 🍩 Plinko Night Blitz ~ 1 300 установок/день, 58 дней онлайн. Стиль: #plinko 🍩 Crane Master ~ 1 100 установок/день, 35 дней онлайн. Стиль: #towerrush 🍩 Flame Fruits ~ 2 200 установок/день, 15 дней онлайн. Стиль: #sevens #fruits 🍩 Joker Jewels ~ 800 установок/день, 24 дня онлайн. Стиль: #joker 🍩 Plinko Clover Rush ~ 3 100 установок/день, 51 день онлайн. Стиль: #plinko 🔥 Лучшие приложения сервисов аренды (обозначения) 🦆 Silly Joker Стиль: #joker 🦆 Starlit Destiny Стиль: #plinko 🔫 Chicken Road Стиль: #chicken 🤐 Road'o'Chick Стиль: #chicken 🔥 Tower Winner Стиль: #towerrush 🔥 Rush of Towers Стиль: #towerrush 🟡Объём блокировок — Средний. #тренды 🖼️➡️ подписаться ▪️ чат ▪️ каталог сервисов аренды

⚡ Обзор трендов за неделю 🍩 На этой неделе обновился каталог сервисов аренды: появились переводы и описания сервисов, добавлена категория "бесплатно". ↖️ С августа установка APK на Android станет доступна после многочисленных подтверждений и с задержкой в 24 часа. В целях борьбы с мошенничеством компания планирует внедрить многоступенчатую процедуру, специально сконструированную так, чтобы защитить пользователей от установки приложений под давлением. Это будет распространяться на все сборки, чья цифровая подпись неизвестна Google. Ускорить процесс можно будет, зарегистрировав подпись в Google Play Console — владельцы бесплатных аккаунтов смогут разрешить быструю установку для 20 пользователей. Более крупные приложения потребуют полноценной регистрации в Google Play Console или установки через ADB. ↖️ BIGO Ads проявляет признаки вредоносного поведения. Исследователь обнаружил, что SDK загружает зашифрованный конфигурационный файл, позволяющий обходить блокировки с помощью автоматического переключения на резервные хосты как для рекламных API, так и для C2. Интересно, что инфраструктура полагается не только на промышленные хранилища вроде Alibaba OSS, но и на обычный Google Drive. В начале 2025 года флагманское приложение компании, Bigo Live, было удалено из магазинов Apple и Google из-за расследований, связанных с насильственным контентом. Из-за различных обвинений в отмывании денег и фальсификации трафика, компания заключила партнёрство с Pixalate для предотвращения рекламного мошенничества. ✏️ Интересное чтение на выходные: сравнение ИИ-агентов в задачах на поиск уязвимостей (всё плохо), доклад с DEF CON о взломе камер Dahua, iPhone в виртуальной машине. ✈️ Топ приложений на радарах 🍩 Fortune Fighter Defense ~ 2 200 установок/день, 150 дней онлайн. Стиль: #chicken 🍩 Tower Rush ~ 1 300 установок/день, 24 дня онлайн. Стиль: #towerrush 🍩 Cozy Road ~ 700 установок/день, 94 дня онлайн. Стиль: #chicken 🍩 Luma Horizon ~ 800 установок/день, 87 дней онлайн. Стиль: #chicken 🍩 Egypt Path of Oasis ~ 900 установок/день, 47 дней онлайн. Стиль: #egypt 🍩 Rush to Olymp ~ 900 установок/день, 119 дней онлайн. Стиль: #zeus 🔥 Лучшие приложения сервисов аренды (обозначения) 🦆 Silly Joker Стиль: #joker 🔥 Tower Winner Стиль: #towerrush 🔥 Chicken Money 2 Стиль: #chicken 🤐 Road'o'Chick Стиль: #chicken 🔥 Rush of Towers Стиль: #towerrush 🦋 Infinite PlinRunner Стиль: #plinko 🟡Объём блокировок — Средний. На этой неделе блокировки затронули многих, но пока нельзя говорить о системном ухудшении обстановки. #тренды 🖼️➡️ подписаться ▪️ чат ▪️ каталог сервисов аренды

⚡ Обзор трендов за неделю 🍩 Читайте один из лучших постов на канале — "Playable ads на коленке". ↖️ Взлом AppsFlyer. Согласно официальному заявлению AppsFlyer, распространённому только среди действующих клиентов сервиса, в период с 9 марта 23:26 (UTC) до 09:47 следующего дня DNS-записи доменного имени appsflyer.com находились в руках злоумышленника, сумевшего убедить службу поддержки регистратора (по-видимому, GoDaddy) сбросить пароль от кабинета. Получив контроль над доменом, злоумышленнику удалось развернуть целую инфраструктуру поверх легитимных сервисов AppsFlyer. Основной целью атаки стало Web SDK — код отслеживания, по принципу работы похожий на Google Analytics, то есть внедряемый на страницы сайтов. Атакующий подменил код на криптовалютный клиппер — гибкую программу, управляемую набором правил, загружаемым тут же с домена AppsFlyer. Правила были нацелены на подмену адресов криптокошельков в браузере. По сообщениям AppsFlyer, мобильный SDK затронут не был, но соглашаться с этим трудно, поскольку доменное имя находилось полностью в руках злоумышленника, а пользователи замечали недоступность дашбордов и даже статус-страницы. Первое и пока самое серьёзное публичное обсуждение появилось на Reddit, сама же компания стремится придавать возникшей проблеме как можно меньше огласки. Процедура сброса пароля у доменных регистраторов всегда сопровождается идентификацией, так что почти наверняка злоумышленнику удалось получить сперва доступ к, например, admin-почте доменного имени и только потом захватить контроль над доменом. Успех предприятия, я думаю, оказался для него неожиданностью, поэтому вредоносная нагрузка была сделана "на скорую руку" и содержала ошибки. Собственно, благодаря этим ошибкам, ломающим сайты, подмену удалось обнаружить довольно быстро. Эта ситуация могла бы повлиять на готовящуюся продажу компании за 1.9 млрд долларов, но сделка сорвалась из-за опасений покупателя, что стоимость программного обеспечения упадёт в связи с повсеместным внедрением ИИ. Нужно отметить, что оценка 1.9 млрд и так довольно сдержанна: в 2020 году компания оценивалась в 2 млрд, а совет директоров ожидал оценки до 3 млрд долларов. ↖️ WordPress выпустила три патча за 30 часов — это самая быстрая серия апдейтов с 2003 года. Компания фиксила уязвимости, которые в декабре, предположительно, позволили злоумышленникам захватить несколько сотен сайтов для развёртывания кампании ClickFix. Дополнительно, более 250 тыс. сайтов на WordPress оказались под угрозой из-за уязвимости в плагине Ally — данные из URL напрямую попадают в SQL-запрос без какой-либо очистки. Из-за структуры запроса возможности злоумышленника несколько ограничены, зато уязвимость доступна для эксплуатации даже неаутентифицированным пользователям. Гораздо интереснее выглядит недавно обнаруженная уязвимость плагина Tutor LMS Pro, затрагивающая всего 30 тыс. сайтов на WP. Разработчики допустили ошибку в механизме аутентификации, что позволяет подменить e-mail и войти в аккаунт администратора, используя любой валидный токен OAuth. ✏️ Интересное чтение на выходные: конверсия MacBook в Framework, моя любимая DuckDB показала BigData на новом MacBook Neo, облачное хранилище на Instagram. ✈️ Топ приложений на радарах 🍩 Fortune Fighter Defense ~ 1 900 установок/день, 143 дня онлайн. Стиль: #chicken 🍩 Gold Wing ~ 1 700 установок/день, 31 день онлайн. Стиль: #chicken #egypt 🍩 Cozy Road ~ 600 установок/день, 87 дней онлайн. Стиль: #chicken 🍩 Rush to Olymp ~ 900 установок/день, 112 дней онлайн. Стиль: #zeus 🍩 Pyramid of Riches ~ 1 700 установок/день, 36 дней онлайн. Стиль: #egypt 🍩 Luma Horizon ~ 700 установок/день, 80 дней онлайн. Стиль: #chicken 🔥 Лучшие приложения сервисов аренды (обозначения) 🦆 Silly Joker Стиль: #joker 🦋 Sevens Match Стиль: #sevens #fruits 🦋 Lime Shots Стиль: #fruits 🦋 Infinite PlinRunner Стиль: #plinko 👨‍💻 Neon Tower Rush Стиль: #towerrush 🔥 Tower Crash Стиль: #towerrush 👨‍💻 Ice Fishing Стиль: #fish 🟡Объём блокировок — Средний. #тренды 🖼️➡️ подписаться ▪️ чат ▪️ каталог сервисов аренды

⚡ Обзор трендов за неделю 🍩 На этой неделе вышел мой каталог сервисов аренды приложений для арбитража. Подписчики тепло встретили идею — переходите посмотреть, если ещё не сделали этого. ↖️ Google запустила рейтинг AI-моделей Android Bench, призванный показать их эффективность в сфере мобильной разработки. Компания спроектировала свой рейтинг таким образом, что он учитывает способности моделей работать со специфическими для Android-разработки задачами, например, Jetpack Compose. Разумеется, победителем является Gemini 3.1 Pro Preview, но важно здесь другое: подталкивая разработчиков к пользованию моделями, Google как бы нормализует само по себе использование AI в разработке приложений. Это важный сигнал, показывающий, что сгенерированный код не должен сам по себе быть ред-флагом для модераторов Google Play. ↖️ Практикующие инженеры, правда, не в восторге от повсеместного внедрения ИИ — они жалуются, дескать, автоматизация спровоцировала неконтролируемый рост ожиданий и появление "парадокса надзора", который заключается в том, что усилия, прилагаемые на анализ сгенерированного кода, могут превышать усилия на его написание с нуля. Ещё описывают понятие "иллюзии поверхностной компетенции" и хоронят junior-позиции. Советы в последнем материале выглядят весьма забавно и очень современно, например "не доверяй коду, который не понимаешь". В отличное будущее идём, господа и дамы. Думаю, в этом году следует ожидать появления AI-first фреймворков и архитектурных паттернов — то есть таких, что не предназначены для использования людьми вообще. ↖️ Ещё один мув от Google — компания не стала дожидаться, пока суд в США одобрит мировое соглашение с Epic Games, и объявила об изменениях в Google Play. Комиссия для разработчиков снижается с 30% до 20% для новых установок, а при отказе от платёжной системы Google сбор упадёт ещё на 5%. Кроме того, запустят "Registered App Stores" — программу, которая упростит установку приложений из сторонних магазинов без пугающих предупреждений системы безопасности. ↖️ А ещё оказалось, что правительственные структуры США используют данные интернет-рекламы для слежки за гражданами. Для нас интерес представляет простая технология этого решения: прогосударственный актор зарегистрировался как участник рекламного аукциона (RTB). Статья описывает, что рекламные сети передают данные о пользователях тысячам участникам рынка каждый раз, когда проводится аукцион на рекламный плейсмент. Вы спросите: а при чём тут мы? Ну, установка приложения из источника, мотивированная креативом на плейсменте, за который проводился аукцион — это отличное место, в котором можно подрезать атрибуцию в обход всяких там ограничений Apple 😏 ✏️ Интересное чтение на выходные: Duolingo сливает данные китайской ByteDance, запустится ли Doom на клавиатуре, мейнтейнер open source проекта проиграл SEO-войну, 23 iOS эксплойта на скам-лендах, Polaroid для бедных. ✈️ Топ приложений на радарах 🍩 Fortune Fighter Defense ~ 1 600 установок/день, 136 дней онлайн. Стиль: #chicken 🍩 Rush to Olymp ~ 700 установок/день, 105 дней онлайн. Стиль: #zeus 🍩 Chicken Farming ~ 1 600 установок/день, 22 дня онлайн. Стиль: #chicken 🍩 Puzzle Glide ~ 800 установок/день, 30 дней онлайн. Стиль: #towerrush 🍩 King of Egypt Fortune Slots ~ 800 установок/день, 30 дней онлайн. Стиль: #sevens #egypt 🍩 Axis Drift ~ 700 установок/день, 30 дней онлайн. Стиль: #towerrush 🔥 Лучшие приложения сервисов аренды (обозначения) 🦆 Silly Joker Стиль: #joker 🔫 Tower Align Rush Стиль: #towerrush 🔫 Ice-Fishing-Number Стиль: #fish 🔫 Mega Win: Drop Стиль: #wheel 🦋 Sevens Match Стиль: #sevens #fruits 🦋 Lime Shots Стиль: #fruits 🟡Объём блокировок — Средний. #тренды 🖼️➡️ подписаться ▪️ чат ▪️ каталог сервисов аренды