Case study – Mobile App Fraud

Jednym z najbardziej “dynamicznie rozwijających się” obszarów działania nieuczciwych wydawców są manipulacje wymierzone w reklamodawców w aplikacjach mobilnych.

W artykule o oszustwach w performance marketingu opisane zostały inne techniki wykorzystywane do wyłudzeń budżetów od reklamodawców w sieci.

Na całym świecie miliony użytkowników bezkrytycznie wgrywają różnego rodzaju aplikacje, często nie zastanawiając się, kto i po co je stworzył oraz dlaczego są bezpłatne. Bardzo często aplikacja taka nie będzie szkodziła użytkownikowi (poza dodatkowym zużyciem zasobów urządzenia), a jej celem będzie generowanie kliknięć.

Opisane w tym artykule studium przypadku oparte jest o dane reklamodawcy, zmodyfikowane dla potrzeb tego artykułu, celem zapewnienia poufności danych – bez znaczenia dla meritum. Ukazane zostały wybrane aspekty analizy dla zwiększenia przejrzystości.

Co widać w KPI

Przykładowy reklamodawca e-commerce, który prowadzi kampanie promujące aplikację mobilną, stosuje KPI w postaci kosztu instalacji (CPI) oraz zwrotu z inwestycji mierzonego wartością zakupów w aplikacji (ROI). Do promocji aplikacji używa systemów reklamowych Google, Facebooka oraz kilku innych sieci reklamowych.

ŹródłoKliknięciaInstalacjeWsp.
konw.
KosztPrzych.ROICPI
Sieć A 14,2M83K0,58%$7,3K$14,4K95%$0,09
(organic)N/A67KN/AN/A$99KN/AN/A
Sieć B8,7M41K0,48%$16,5K$31K88%$0,40
Facebook Ads522K21K4,14%$29K$17,1K-41%$1,34
Google Ads379K17K4,39%$38,6K$21,2K-45%$2,32
Landing Page22K4,8K21,89%N/A$8,2KN/AN/A
Sieć C3,6M9,8K0,27%$4,9K$8,5K73%$0,50

W raporcie widzimy, że sieci A, B oraz C mają bardzo niskie współczynniki konwersji w porównaniu z Google i Facebookiem, a CPI oraz ROI są wysokie dzięki bardzo niskiemu kosztowi kliknięcia. To pierwszy znak ostrzegawczy, bo tani, niskiej jakości ruch może pochodzić ze spamu.

CTIT – Czas od kliknięcia do instalacji

Aby lepiej zrozumieć naturę ruchu dostarczanego przez poszczególne źródła, należy przyjrzeć się bliżej ich statystykom. Każde odstępstwo od normy będzie sygnałem, że coś może być nie tak, jak nam się wydaje.

Ale co jest normą? Należy przyjąć, że normalne zachowania pochodzą od użytkowników, u których nie ma ryzyka manipulacji przez wydawcę reklamy. Przykładem takiego ruchu są użytkownicy pochodzący z własnej strony docelowej promującej aplikację. Można też założyć, że kliknięcia reklam w wyszukiwarce Google będą reprezentowały “naturalnych” użytkowników.

Pierwszym parametrem do analizy jest czas między kliknięciem a instalacją (CTIT). Użytkownicy naturalni potrzebują zazwyczaj około 30-120 sekund, aby zakończyć instalację i otworzyć pobraną aplikację. Szybciej się raczej nie da. Oto jak wyglądał ten parametr dla strony docelowej i reklam w wyszukiwarce Google:

CTIT w sieciach Google Ads i Facebook ma podobny rozkład. W przypadku Facebooka obserwujemy jednak pewną liczbę bardzo szybkich pobrań:

W sieciach A i B profil zachowań użytkowników jest zgoła inny. Instalacje dokonane w ciągu kilku sekund dominują nad normalnymi zachowaniami użytkowników:

Wykres rozkładu CTIT dla sieci C wyglądał podobnie. Widać więc, że w przypadku instalacji przypisanych do Facebooka i Ads, ruch jest zbliżony do normalnego. W sieciach A, B i C mamy do czynienia z większą liczbą błędnie przypisanych instalacji, gdyż pobranie aplikacji w takim czasie po prostu nie jest możliwe.

Warto zwrócić uwagę, że wykorzystywane tu narzędzie AppsFlyer raportuje instalację przez zdarzenie pierwszego otwarcia aplikacji. Może się więc zdarzyć, że konwersja zostanie przypisana do aplikacji, która była już pobrana, ale nie została wcześniej odtworzona.

Mimo dużej liczby widocznej na wykresach, instalacje z podejrzanie krótkim CTIT stanowią niewielką część wszystkich instalacji, więc ich wyeliminowanie nie zmienia istotnie obrazu rentowności reklam w sieciach A, B, C.

Instalacje a aktywni użytkownicy i przychód na użytkownika

Ważnymi wskaźnikami pozwalającymi wykrywać nieprawidłowości są miary jakości użytkownika, takie jak procent zaangażowanych użytkowników i przychód na użytkownika. Spójrzmy jak to wygląda w omawianym przypadku:

Widzimy, że przychód na aktywnego użytkownika (ARPU) jest podobny we wszystkich sieciach reklamowych. Obserwujemy wyższe ARPU w źródłach organicznych i landing page, co jest możliwe do wytłumaczenia wyższym odsetkiem lojalnych klientów, którzy instalują aplikację. Sieć A ma niewielki procent aktywnych użytkowników, co wskazuje na fałszywe lub wymuszone instalacje.

Analiza ścieżek konwersji

Aby zrozumieć, co się faktycznie dzieje, trzeba sięgnąć głębiej i przeanalizować ścieżki konwersji, w tym nie tylko ostatnie kliknięcie i CTIT, ale i wcześniejsze kliknięcia towarzyszące (assist clicks) oraz interwały czasowe między tymi kliknięciami:

Przeglądając konwersje o bardzo krótkim czasie do instalacji widzimy, że pochodzą one głównie z sieci A, B, C. Co więcej, bardzo często towarzyszy im kliknięcie innej z tych sieci w tej samej sekundzie.

Widać również, że w tej sposób bardzo wiele instalacji zostało “skradzionych” Ads, Facebookowi i ruchowi z Landing Page. Prawdopodobne jest również, że w przypadkach takich jak dwie pierwsze konwersje z ilustracji poniżej, aplikacja została pobrana wcześniej ze źródła organicznego, dla których kliknięcia nie są raportowane przez AppsFlyer.

Jak szybko można pobrać aplikację (zazwyczaj kilkadziesiąt MB)? Jeśli wykonuje to człowiek, to raczej nie jest możliwe szybciej, niż 15-30 sekund, i to bez czytania informacji o aplikacji – co świadczy o tym, że użytkownik bezkrytycznie zainstalował coś, co podsunęła mu reklama lub już wcześniej miał styczność z aplikacją dzięki innym działaniom reklamowym.

Jeśli instalacja nastąpiła wcześniej, niż 15 sekund, można mieć praktycznie pewność, że jej faktycznym źródłem jest inna interakcja. W większości przypadków będzie to dowód hijackingu lub click spamu, choć może się zdarzyć, że będą to kliknięcia użytkowników, którzy już mieli zainstalowaną aplikację, której jednak wcześniej nie używali. Taka reklama będzie miała funkcję zbliżoną do remarketingu.

Zerowy interwał między kliknięciami różnych reklam to ewidentny dowód ad stackingu (jednoczesne kliknięcie wielu reklam). Niemniej, również kliknięcia następujące w odstępie kilku czy nawet kilkudziesięciu sekund należy uznać za nienaturalne.

Owszem, może się zdarzyć, że użytkownik świadomie kliknie kilka reklam z rzędu w krótkim czasie, ale jeśli takie zjawisko jest powszechne, najprawdopodobniej kliknięcia takie będą wirtualne (generowane bez świadomego udziału użytkownika), bądź wymuszone, np. poprzez niespodziewane wyświetlenie reklamy na ekranie gry.

Reklama pojawia się nagle w klikalnym polu gry i jest mimowolnie klikana przez gracza.

Analiza takich zdarzeń wykazała, że ich udział w kliknięciach z Facebooka, Google oraz Landing Page jest znikomy, natomiast w sieciach A, B oraz C wynosi on kilkanaście procent:

Jest to wiele, ale wciąż nie jest to zmiana jakościowa, która spowoduje zmianę ogólnego obrazu opłacalności poszczególnych źródeł. Wyniki sieci A, B, C nawet po skorygowaniu o kilkanaście procent będą wciąż o wiele lepsze niż Facebooka i Ads.

Podejrzani wydawcy

Opisane wyżej alerty podejrzanych konwersji oznaczają przypadki “złapania na gorącym uczynku”. Wskazują one na istotne prawdopodobieństwo, że z daną instalacją związane są nieprawidłowe kliknięcia. Pamiętajmy jednak, że są to tylko przypadki ewidentne, a wiele z nieprawidłowych kliknięć może po prostu pozostać niezauważone.

Analizując nieprawidłowe interakcje, należy się skupić nie na kliknięciach, ale na poszczególnych wydawcach czy aplikacjach. Sieci reklamowe obecnie zazwyczaj nie udostępniają szczegółowych informacji na temat konkretnych aplikacji, w których wyświetlała się reklama, co najwyżej identyfikując wydawcę jako ciąg znaków.

Niektóre z tych sieci pozwalają takiego wydawcę zablokować i nie pozwolić mu na wyświetlanie reklamy, dlatego należy poszukiwać kandydatów do wykluczenia, by poprawić jakość ruchu. Jest to poniekąd uzasadnione: jeśli wydawca został wielokrotnie przyłapany na nieuczciwych praktykach, to prawdopodobnie stosuje je programowo.

W omawianym przypadku okazało się, że u wydawców (aplikacji) w których zaobserwowaliśmy patologie, sytuacje takie nie są odosobnione. Rekordziści mieli na swoim koncie powyżej tysiąca, a nawet więcej niż 5000 podejrzanych instalacji. Jeśli przyjąć, że więcej niż 20 przypadków podejrzanych interwałów i CTIT jest powodem do zablokowania transakcji od danego wydawcy, to 92% transakcji z sieci A, B i C zostałoby unieważnionych.

Efektem analiz było zablokowanie dużej liczby wydawców i przeniesienie budżetów na działania na sieci, w których odsetek podejrzanych instalacji był mniejszy.

Przeczytaj też artykuły: Ad fraud – oszustwa w performance marketingu oraz Kupony rabatowe – świetna promocja czy manipulacja.

Autor

Data

Zobacz najnowsze wpisy