Une Opération de Fraude Publicitaire Mobile de Grande Envergure Mise au Jour par l'Équipe Satori de HUMAN

Une vaste opération de fraude publicitaire mobile nommée « Konfety » a récemment été dévoilée par l’équipe Satori de HUMAN, une équipe spécialisée dans le renseignement et la recherche sur les menaces. Konfety, une campagne de fraude publicitaire sophistiquée de grande ampleur, a utilisé des applications jumelles malveillantes pour tromper à la fois les annonceurs et les utilisateurs. Cette opération représente une évolution significative des tactiques de fraude publicitaire.

La méthode des doublures malveillantes

L’opération Konfety exploitait le kit de développement logiciel (SDK) de CaramelAds, tirant parti d’une méthode innovante de « doublure malveillante ». En créant et en distribuant des versions jumelles malveillantes d’applications légitimes disponibles sur les principales places de marché d’applications, les acteurs menaçants derrière Konfety ont pu générer d’importantes quantités de trafic publicitaire frauduleux tout en échappant à la détection.

Selon les chercheurs de HUMAN, l’opération impliquait plus de 250 applications sur le Google Play Store, chacune ayant une contrepartie malveillante distribuée par des canaux malveillants. Au sommet de son activité, l’opération a généré un nombre impressionnant de 10 milliards de demandes publicitaires frauduleuses par jour, mettant en lumière l’ampleur et l’impact potentiel de ce système frauduleux sur l’écosystème de la publicité numérique.

Distribution par campagne de malvertising

La principale méthode de distribution des doublures malveillantes était une campagne de malvertising à grande échelle. Les auteurs de la menace ont utilisé un réseau de plus de 400 domaines, dont beaucoup générés par des algorithmes de génération de domaines (DGA), pour diffuser leurs applications malveillantes. Ces domaines, hébergés sur une seule adresse IP (139.45.197.170), faisaient partie d’une infrastructure sophistiquée conçue pour échapper à la détection et maximiser la portée des applications frauduleuses.

Lire YouTube révolutionne la pub : les annonces Pause débarquent et divisent les utilisateurs

La campagne de malvertising utilisait diverses tactiques pour inciter les utilisateurs à télécharger les applications malveillantes. Parmi celles-ci figuraient la promotion de mods APK – versions modifiées d’applications populaires promettant des fonctionnalités supplémentaires – et l’exploitation de plateformes de contenu généré par les utilisateurs pour diffuser des liens malveillants. La campagne a même abusé de sites Web et de plateformes légitimes, y compris Docker Hub, OpenSea, Google Sites et des plateformes sociales, pour héberger et distribuer des contenus malveillants.

Une approche en plusieurs étapes

Une fois installées sur un appareil, les applications malveillantes adoptaient une approche en plusieurs étapes pour mener leurs activités frauduleuses. La première étape impliquait un petit fichier APK (package Android) utilisant des techniques de chargement de code dynamique pour éviter la détection. Ce dropper APK décryptait ensuite et chargeait une charge utile de deuxième étape, contenant la fonctionnalité principale pour alors mener la fraude publicitaire et d’autres activités malveillantes.

Les doublures malveillantes commettaient essentiellement de la fraude publicitaire en affichant des annonces vidéo en plein écran hors contexte, souvent lorsque l’utilisateur était sur son écran d’accueil ou utilisait une application sans rapport. En usurpant les noms de paquets et les identifiants de leurs éditeurs légitimes, ces applications étaient capables de demander et d’afficher des annonces comme si elles étaient des applications authentiques, volant ainsi des revenus publicitaires et manipulant les données des annonceurs.

Activités malveillantes supplémentaires

Outre la fraude publicitaire, les applications malveillantes se livraient également à d’autres activités malveillantes. Elles étaient capables de télécharger du code supplémentaire, souvent sous forme de versions modifiées des SDK publicitaires, permettant aux acteurs de la menace d’exploiter d’autres réseaux publicitaires. Les applications installaient également une barre d’outils de recherche et surveillaient le trafic qui y était acheminé, potentiellement pour collecter des données utilisateur à des fins inconnues.

Lire Les annonces Facebook révolutionnent le ciblage géographique pour une portée accrue

Adaptabilité et réponse

Dès que HUMAN a déployé des contre-mesures contre l’opération Konfety, les acteurs de la menace ont montré leur capacité d’adaptation. Ils ont rapidement réorienté leurs attaques vers des réseaux publicitaires non protégés par les services de HUMAN, illustrant ainsi le jeu constant du chat et de la souris entre les fraudeurs et les chercheurs en sécurité.

La découverte et l’analyse de l’opération Konfety mettent en lumière plusieurs tendances importantes dans les paysages de la publicité numérique et de la cybersécurité. Tout d’abord, cela souligne la sophistication croissante des systèmes de fraude publicitaire, qui continuent d’évoluer pour contourner les méthodes de détection et les mesures de sécurité. L’utilisation d’applications jumelles malveillantes représente une approche nouvelle qui pose des défis significatifs pour les boutiques d’applications, les annonceurs et les chercheurs en sécurité.

Deuxièmement, l’opération Konfety démontre la nature interconnectée de diverses formes de fraude en ligne et d’activités malveillantes. Ce qui a commencé comme une fraude publicitaire a également intégré des éléments de distribution de logiciels malveillants, de vol de données et de surveillance des utilisateurs, illustrant comment les acteurs de la menace combinent souvent plusieurs techniques pour maximiser leurs gains illicites.

Enfin, l’ampleur de l’opération Konfety – avec plus de 250 applications impliquées et des milliards de demandes publicitaires frauduleuses quotidiennes – rappelle l’impact économique potentiel de la fraude publicitaire sur l’écosystème de la publicité numérique. La fraude publicitaire coûte des milliards de dollars à l’industrie chaque année, et des systèmes sophistiqués comme Konfety contribuent de manière significative à ces pertes.

Lire Nouvelle ère pour Google Ads : plus de contrôle et de précision pour vos campagnes

La découverte de l’opération Konfety par l’équipe Satori de HUMAN représente une victoire significative dans la lutte contre la fraude publicitaire. Toutefois, cela sert également de rappel que cette bataille est loin d’être terminée. À mesure que les fraudeurs continuent d’innover et d’adapter leurs tactiques, l’ensemble de l’écosystème numérique doit rester vigilant et proactif dans le développement de nouvelles défenses et méthodes de détection.

Une Opération de Fraude Publicitaire Mobile de Grande Envergure Mise au Jour par l’Équipe Satori de HUMAN

Pinterest booste vos campagnes avec des outils publicitaires révolutionnaires propulsés par l’IA

Révolution dans la monétisation : Facebook simplifie les gains pour les créateurs de contenu

Amazon DSP réinvente la publicité de marque avec les enchères basées sur des objectifs

Les lunettes intelligentes de Meta : une révolution publicitaire ou une menace pour la vie privée ?

La CMA maintient la pression sur Google pour des publicités numériques équitables

Amazon révolutionne la publicité avec un générateur vidéo IA pour les fêtes

Bing Ads Boosté par l’IA : Comment Profiter des Nouvelles Fonctionnalités pour Vos Campagnes en 2024

Yandex : Comment Tirer Parti du Nouvel Algorithme Vega pour Booster votre SEO en 2024

SEO et IA : Comment les Modèles Génératifs Redéfinissent l’Optimisation des Moteurs de Recherche

Google Analytics 4 : Exploitez la puissance des données pour révolutionner votre SEO en 2024