Click Spam — массовая фабрикация кликов и как от неё защититься
Click Spam (он же Click Flooding, Spamming Attribution) — родной брат Click Injection, только проще и масштабнее. Вредоносное SDK или CTV-сервис генерирует огромное количество фейковых кликов в надежде, что один из них попадёт в attribution-окно к будущей органической установке — и реатрибуция украдёт у органики кредит, который заплатит рекламодатель.
Как Click Spam отличается от Click Injection
Сравним два класса атак:
| Метрика | Click Injection | Click Spam |
|---|---|---|
| CTIT (медиана) | < 15 секунд | 5 часов – 30 дней |
| Install rate | 20–60 % | 0.01–0.5 % |
| Объём кликов | Соизмерим с реальным | На порядки больше |
| Источник | SDK на устройстве | Сервер / эмулятор-ферма |
| Цель атаки | Конкретная установка | Массовая реатрибуция |
Как обнаружить Click Spam — четыре сигнала
1. Длинный CTIT (правый хвост распределения)
Если у трекера ~30 % установок имеет CTIT > 24 часов и при этом конверсия клика в установку < 0.5 % — это типичный Click Spam. Реальные пользователи с CTIT > 24 часов существуют (думают перед скачкой), но не в таком объёме.
2. Аномально низкий Install Rate
Нормальный CR клика в установку у качественной сети — 1–10 %. Если у трекера 0.05 %, при этом миллионы кликов в месяц — он спамит и надеется на органику.
3. Нет matching impressions
У легитимной сети impression-к-click соотношение ~10–100 (то есть на 1 клик приходится 10–100 показов). Если у трекера 5M кликов и 50K impressions — это не реклама, это спам без показов. Romi+ MMP-Антифрод подсвечивает такие трекеры красным.
4. Source-app concentration
Если 80 %+ кликов с одного source app — это, скорее всего, спам-SDK, встроенное в это приложение. Особенно если приложение из категории «Utility» / «Battery Saver» / «Cleaner» — классические носители фрод-SDK на Android.
Как защититься — три уровня
Viewthrough cap = 1 час
Самая эффективная мера для Android. В Adjust / AppsFlyer установите viewthrough окно 1 час вместо стандартных 24h. Это срезает 90 % Click Spam — реальный пользователь после показа конвертит в установку обычно за 10–30 минут, не за день.
Click attribution window 24h max
Стандартное click window — 7 дней. Сократите до 24h для подозрительных сетей. Реальный клик в установку конвертит обычно за 2–6 часов; установки на 4-7 день — это либо повторные клики (засчитывается последний), либо спам.
MMP-фильтры на источнике
Adjust позволяет добавить deny-list source apps. Раз в месяц обновляйте список из своего MMP-анализа. На сетях типа AppLovin, Mintegral, ironSource, Pangle важно настраивать индивидуально — каждая использует свой пул publisher-апликаций со своим уровнем чистоты.
Что делать прямо сейчас
1. Откройте MMP-отчёт за месяц с разбивкой по source app
2. Загрузите в Romi+ MMP-Антифрод — увидите CTIT-распределение, install rate и матрицу подозрительных source apps по трекерам
3. По выявленным фрод-source app — добавьте в MMP deny-list и сократите viewthrough окно до 1 часа. На тарифе Pro Romi+ автоматически предлагает оптимальные пороги для каждого трекера на основе вашего датасета.
Частые вопросы
Что такое Click Spam?
Click Spam (Click Flooding) — атака мобильного фрода, при которой SDK или сервер массово генерирует фейковые клики в надежде, что один попадёт в окно атрибуции к будущей органической установке. Тогда реатрибуция крадёт у органики кредит за установку, который оплачивает рекламодатель.
Как обнаружить Click Spam?
Четыре сигнала: длинный CTIT (около 30% установок с CTIT > 24 часов); аномально низкий install rate (< 0.5% против нормы 1–10%); отсутствие показов при огромном объёме кликов (например, 5M кликов на 50K impressions); концентрация 80%+ кликов с одного source app, часто из категории Utility/Cleaner/Battery Saver.
Чем Click Spam отличается от Click Injection?
Click Spam — массовая генерация кликов с длинным CTIT (часы-дни) и очень низким install rate (0.01–0.5%) с сервера или эмулятор-ферм. Click Injection — точечная атака на конкретную установку с CTIT < 15 секунд и высоким install rate (20–60%) с SDK на устройстве пользователя.
Как защититься от Click Spam?
Самая эффективная мера на Android — сократить viewthrough окно до 1 часа (срезает до 90% Click Spam) и click attribution window до 24 часов для подозрительных сетей. Дополнительно — вести deny-list source apps в MMP (Adjust/AppsFlyer), обновляя его ежемесячно по результатам анализа.