Une vaste opération de fraude publicitaire mobile nommée « Konfety » a récemment été dévoilée par l’équipe Satori de HUMAN, une équipe spécialisée dans le renseignement et la recherche sur les menaces. Konfety, une campagne de fraude publicitaire sophistiquée de grande ampleur, a utilisé des applications jumelles malveillantes pour tromper à la fois les annonceurs et les utilisateurs. Cette opération représente une évolution significative des tactiques de fraude publicitaire.
La méthode des doublures malveillantes
L’opération Konfety exploitait le kit de développement logiciel (SDK) de CaramelAds, tirant parti d’une méthode innovante de « doublure malveillante ». En créant et en distribuant des versions jumelles malveillantes d’applications légitimes disponibles sur les principales places de marché d’applications, les acteurs menaçants derrière Konfety ont pu générer d’importantes quantités de trafic publicitaire frauduleux tout en échappant à la détection.
Selon les chercheurs de HUMAN, l’opération impliquait plus de 250 applications sur le Google Play Store, chacune ayant une contrepartie malveillante distribuée par des canaux malveillants. Au sommet de son activité, l’opération a généré un nombre impressionnant de 10 milliards de demandes publicitaires frauduleuses par jour, mettant en lumière l’ampleur et l’impact potentiel de ce système frauduleux sur l’écosystème de la publicité numérique.
Distribution par campagne de malvertising
La principale méthode de distribution des doublures malveillantes était une campagne de malvertising à grande échelle. Les auteurs de la menace ont utilisé un réseau de plus de 400 domaines, dont beaucoup générés par des algorithmes de génération de domaines (DGA), pour diffuser leurs applications malveillantes. Ces domaines, hébergés sur une seule adresse IP (139.45.197.170), faisaient partie d’une infrastructure sophistiquée conçue pour échapper à la détection et maximiser la portée des applications frauduleuses.
La campagne de malvertising utilisait diverses tactiques pour inciter les utilisateurs à télécharger les applications malveillantes. Parmi celles-ci figuraient la promotion de mods APK – versions modifiées d’applications populaires promettant des fonctionnalités supplémentaires – et l’exploitation de plateformes de contenu généré par les utilisateurs pour diffuser des liens malveillants. La campagne a même abusé de sites Web et de plateformes légitimes, y compris Docker Hub, OpenSea, Google Sites et des plateformes sociales, pour héberger et distribuer des contenus malveillants.
Une approche en plusieurs étapes
Une fois installées sur un appareil, les applications malveillantes adoptaient une approche en plusieurs étapes pour mener leurs activités frauduleuses. La première étape impliquait un petit fichier APK (package Android) utilisant des techniques de chargement de code dynamique pour éviter la détection. Ce dropper APK décryptait ensuite et chargeait une charge utile de deuxième étape, contenant la fonctionnalité principale pour alors mener la fraude publicitaire et d’autres activités malveillantes.
Les doublures malveillantes commettaient essentiellement de la fraude publicitaire en affichant des annonces vidéo en plein écran hors contexte, souvent lorsque l’utilisateur était sur son écran d’accueil ou utilisait une application sans rapport. En usurpant les noms de paquets et les identifiants de leurs éditeurs légitimes, ces applications étaient capables de demander et d’afficher des annonces comme si elles étaient des applications authentiques, volant ainsi des revenus publicitaires et manipulant les données des annonceurs.
Activités malveillantes supplémentaires
Outre la fraude publicitaire, les applications malveillantes se livraient également à d’autres activités malveillantes. Elles étaient capables de télécharger du code supplémentaire, souvent sous forme de versions modifiées des SDK publicitaires, permettant aux acteurs de la menace d’exploiter d’autres réseaux publicitaires. Les applications installaient également une barre d’outils de recherche et surveillaient le trafic qui y était acheminé, potentiellement pour collecter des données utilisateur à des fins inconnues.
Adaptabilité et réponse
Dès que HUMAN a déployé des contre-mesures contre l’opération Konfety, les acteurs de la menace ont montré leur capacité d’adaptation. Ils ont rapidement réorienté leurs attaques vers des réseaux publicitaires non protégés par les services de HUMAN, illustrant ainsi le jeu constant du chat et de la souris entre les fraudeurs et les chercheurs en sécurité.
La découverte et l’analyse de l’opération Konfety mettent en lumière plusieurs tendances importantes dans les paysages de la publicité numérique et de la cybersécurité. Tout d’abord, cela souligne la sophistication croissante des systèmes de fraude publicitaire, qui continuent d’évoluer pour contourner les méthodes de détection et les mesures de sécurité. L’utilisation d’applications jumelles malveillantes représente une approche nouvelle qui pose des défis significatifs pour les boutiques d’applications, les annonceurs et les chercheurs en sécurité.
Deuxièmement, l’opération Konfety démontre la nature interconnectée de diverses formes de fraude en ligne et d’activités malveillantes. Ce qui a commencé comme une fraude publicitaire a également intégré des éléments de distribution de logiciels malveillants, de vol de données et de surveillance des utilisateurs, illustrant comment les acteurs de la menace combinent souvent plusieurs techniques pour maximiser leurs gains illicites.
Enfin, l’ampleur de l’opération Konfety – avec plus de 250 applications impliquées et des milliards de demandes publicitaires frauduleuses quotidiennes – rappelle l’impact économique potentiel de la fraude publicitaire sur l’écosystème de la publicité numérique. La fraude publicitaire coûte des milliards de dollars à l’industrie chaque année, et des systèmes sophistiqués comme Konfety contribuent de manière significative à ces pertes.
La découverte de l’opération Konfety par l’équipe Satori de HUMAN représente une victoire significative dans la lutte contre la fraude publicitaire. Toutefois, cela sert également de rappel que cette bataille est loin d’être terminée. À mesure que les fraudeurs continuent d’innover et d’adapter leurs tactiques, l’ensemble de l’écosystème numérique doit rester vigilant et proactif dans le développement de nouvelles défenses et méthodes de détection.