Google supprime 224 applications Android malveillantes à l'origine d'une vaste campagne de fraude publicitaire.
Une vaste campagne de fraude publicitaire sur Android, baptisée « SlopAds », a été démantelée après la découverte de 224 applications malveillantes sur Google Play ayant généré jusqu'à 2,3 milliards de requêtes publicitaires par jour.
Selon un nouveau rapport de Satori Threat Intelligence, un groupe de recherche et d'analyse en cybersécurité de la société américaine de technologies de cybersécurité Human, une campagne de fraude publicitaire à grande échelle appelée « SlopAds » a été mise au jour.
L'équipe de recherche a indiqué que plus de 224 applications malveillantes liées à cette campagne avaient été téléchargées plus de 38 millions de fois sur Google Play avant d'être détectées et supprimées. Ces applications dissimulaient des activités frauduleuses sophistiquées grâce à des techniques de masquage et d'insertion de texte caché, et contournaient de nombreux mécanismes de sécurité de Google ainsi que d'autres outils de défense.

SlopAds n'est pas un phénomène localisé, mais déployé à l'échelle mondiale, affectant des utilisateurs dans 228 pays. Ce système frauduleux a généré en moyenne 2,3 milliards de demandes d'enchères publicitaires par jour, causant des pertes considérables au marché de la publicité en ligne. La plus forte concentration d'impressions publicitaires provenait des États-Unis (30 %), suivis de l'Inde (10 %) et du Brésil (7 %).
Les chercheurs suggèrent que ces applications malveillantes sont produites en masse et de faible qualité, à l'instar des « résidus d'IA » – des contenus indésirables générés par l'IA. Ce terme désigne également le répertoire d'applications et de services liés à l'IA découvert sur les serveurs de commande et de contrôle du groupe cybercriminel à l'origine de cette campagne.
Du légal au dangereux en un seul geste.
Les auteurs de la campagne SlopAds ont astucieusement conçu un mécanisme permettant aux applications de passer de « légitimes » à frauduleuses dès leur installation sur l'appareil de l'utilisateur. Afin de contourner le processus de vérification de Google Play et la protection d'Android, ils ont eu recours à diverses techniques pour dissimuler leurs agissements malveillants jusqu'au dernier moment.
Lorsqu'un utilisateur installe une application depuis le Play Store, celle-ci fonctionne initialement comme une application normale, sans présenter de signes inhabituels. Cependant, si l'utilisateur accède à l'application via un lien publicitaire diffusé par un pirate, l'installation activera un script malveillant après avoir passé une série de vérifications.
L'application détectera si elle a été installée via le Play Store ou une autre source ; si la « condition » est remplie, elle téléchargera un fichier de configuration chiffré contenant le chemin d'accès au module frauduleux, le serveur de retrait et un extrait de code JavaScript fourni par l'attaquant.
Ensuite, l'application télécharge quatre fichiers image PNG apparemment inoffensifs ; cette technique consiste à intégrer des données dans les images. Ces images PNG contiennent en réalité du code ou des fichiers APK chiffrés.

Sur l'appareil cible, les images sont décodées et réassemblées pour former le module malveillant. Une fois activé, ce module utilise une WebView cachée pour collecter des informations sur l'appareil, imiter l'accès d'un utilisateur réel et se connecter à un réseau contrôlé par l'attaquant.
Ces domaines usurpent l'identité de sites de jeux et d'actualités, affichant constamment des WebViews cachées – une pratique qui génère quotidiennement des milliards de fausses impressions et de faux clics, transformant ainsi le trafic frauduleux en véritables revenus pour les escrocs.
Les techniques de dissimulation sophistiquées et les processus de déclenchement contextuels sont les raisons pour lesquelles les SlopAds sont difficiles à détecter et particulièrement dangereuses pour l'écosystème de la publicité numérique.
Comment se protéger des applications frauduleuses financées par la publicité.
Bien que l'équipe Satori Threat Intelligence de Human n'ait pas publié de liste détaillée des 224 applications incluses dans la campagne SlopAds, la bonne nouvelle est qu'elles ont toutes été retirées de Google Play.
Les utilisateurs n'ont plus besoin de trop se soucier des vérifications manuelles, car Google a mis à jour Play Protect, la couche de sécurité intégrée à Android, pour analyser automatiquement, avertir et demander la suppression des applications malveillantes détectées sur leurs téléphones ou tablettes.
Cependant, cela ne signifie pas que vous pouvez baisser votre garde. Les logiciels publicitaires malveillants ne se contentent pas de voler des données ou de manipuler l'affichage ; ils peuvent avoir des conséquences imprévues.
Imaginez votre téléphone téléchargeant silencieusement d'innombrables sites web aléatoires tout au long de la journée. Cela entraîne une consommation excessive de données mobiles, une décharge rapide de la batterie, une surchauffe et, au final, une réduction de la durée de vie des composants. Bien souvent, les utilisateurs sont contraints de remplacer leur appareil plus tôt que prévu simplement parce qu'ils ont installé par erreur ces applications apparemment inoffensives.
Bien que SlopAds ne soit pas aussi dangereux que les logiciels malveillants spécialisés dans le vol d'informations ou la prise de contrôle d'appareils, il montre néanmoins que les utilisateurs qui téléchargent des applications provenant de sources non officielles ou inconnues courent des risques beaucoup plus élevés que lorsqu'ils utilisent uniquement des applications officielles du Google Play Store.
Pour une protection renforcée, vous pouvez installer une application antivirus réputée pour Android en complément de Play Protect. Si vous souhaitez une protection plus complète contre les menaces telles que les pirates informatiques, les escrocs ou même l'usurpation d'identité, les services de protection de l'identité numérique constituent également une option intéressante.
Compte tenu des sommes colossales que cette campagne de fraude publicitaire pourrait rapporter aux cybercriminels, SlopAds n'est certainement pas leur dernier coup d'éclat. Les experts en sécurité estiment que les auteurs pourraient bientôt réapparaître avec une campagne similaire, mais plus sophistiquée.
Et cela ne fait que renforcer un rappel familier mais toujours d'actualité : faites attention à ce que vous téléchargez, car un seul clic malheureux peut vous coûter cher.


