Les chercheurs de HUMAN Security ont démantelé Trapdoor, une fraude qui faisait cliquer des téléphones Android sur des publicités à l'insu de leurs propriétaires. Les fraudeurs avaient piégé 455 applications et enregistré 183 domaines de contrôle. Google a retiré toutes ces applications du Play Store.

L'utilisateur télécharge d'abord un simple lecteur PDF, un gestionnaire de fichiers ou un nettoyeur de mémoire. Rien ne le distingue d'un utilitaire normal - ©One Artist / Shutterstock
L'utilisateur télécharge d'abord un simple lecteur PDF, un gestionnaire de fichiers ou un nettoyeur de mémoire. Rien ne le distingue d'un utilitaire normal - ©One Artist / Shutterstock

Plus de 24 millions de personnes ont installé l'une de ces applications sur leur smartphone Android sans rien soupçonner. Leur téléphone cliquait ensuite seul sur des publicités, en arrière-plan, et les fraudeurs touchaient l'argent. Au plus fort de l'opération, les chercheurs de HUMAN ont compté 659 millions d'enchères publicitaires par jour dans leur rapport technique, bien qu'ils en annoncent 480 millions dans leur communiqué officiel.

L'équipe Satori a reconstitué tout le circuit. L'utilisateur télécharge d'abord un simple lecteur PDF, un gestionnaire de fichiers ou un nettoyeur de mémoire. Rien ne le distingue d'un utilitaire normal. Quelques jours plus tard, l'utilisateur voit une publicité qui prétend que sa version serait périmée. C'et en réalité une fausse réclame, du malvertising. En touchant le bouton de mise à jour, il installe en réalité une seconde application, contrôlée par les mêmes fraudeurs. Cette seconde application ouvre une fenêtre invisible, charge des pages HTML5 hébergées par les pirates et clique seule sur des bannières.

Un filtre conçu pour aveugler les chercheurs

Les fraudeurs ne déclenchent jamais leur fraude au hasard. Ils ont programmé chaque application pour consulter une plateforme d'attribution marketing, un outil légitime qui aide les annonceurs à savoir d'où viennent leurs installations. L'application lit la valeur tracker_name. Quand les fraudeurs ne trouvent pas le mot « organic » dans cette valeur, ils savent que l'utilisateur a installé l'application via une de leurs campagnes payantes, et ils lancent la fraude. Dans le cas contraire, ils laissent l'application inoffensive.

Quand on télécharge l'application directement depuis le Play Store, les fraudeurs lisent le marqueur « organic » et ne font rien. Un chercheur qui examine l'application ne voit donc qu'un programme parfaitement banal. Les chercheurs de Satori avaient déjà repéré cette astuce dans l'opération SlopAds l'an dernier. En la réutilisant, les fraudeurs se servent des outils d'attribution comme d'une barrière contre les analystes.

Les fraudeurs ajoutent d'autres protections. Avant de lancer la fraude, ils interrogent leur serveur de contrôle et vérifient trois choses. Ils cherchent les traces d'un appareil rooté, repèrent les outils de débogage et détectent un éventuel VPN sur l'appareil. Avec ce dernier test, les fraudeurs traquent directement les chercheurs. Pour analyser une application mobile, un analyste branche presque toujours un VPN et des outils d'interception. Les fraudeurs empaquettent aussi leur code en langage natif, chiffrent les chaînes de caractères et brouillent les instructions. Dans certaines versions, ils imitent même un kit publicitaire connu pour tromper les premiers contrôles.

Avec les revenus des faux clics, ils paient de nouvelles campagnes de malvertising et publient de nouvelles applications - ©Mehaniq / Shutterstock
Avec les revenus des faux clics, ils paient de nouvelles campagnes de malvertising et publient de nouvelles applications - ©Mehaniq / Shutterstock

Des clics dictés par des fichiers de coordonnées

Les fraudeurs cachent toutes leurs instructions de clic dans deux fichiers d'une archive ZIP chiffrée, move.txt et click.txt. Dans ces fichiers, ils inscrivent des coordonnées précises, des durées et des trajectoires de gestes. L'application transforme ces données en classes TouchConfig et TouchData, puis les exécute avec la fonction Android dispatchTouchEvent. Le téléphone reproduit alors des appuis, des glissements et des gestes complexes dignes d'un vrai doigt.

Les chercheurs ont rejoué les coordonnées de move.txt et obtenu des tracés réguliers, qui reviennent à l'identique. Les fraudeurs sont très méticuleux. Ils dirigent chaque geste vers une bannière publicitaire précise sur les pages HTML5. Pendant toute l'opération, ils gardent la fenêtre cachée grâce à des réglages qui effacent tout signe à l'écran. L'utilisateur ne voit rien pendant que son téléphone clique sans arrêt.

Les fraudeurs frappent surtout aux États-Unis, d'après les relevés de trafic de Satori. Les chercheurs ont aussi repéré du trafic au Japon, en Australie, en Russie, en Nouvelle-Zélande et en Inde. Les annonceurs paient plus cher le clic sur les marchés riches, alors les fraudeurs y envoient l'essentiel de leur faux trafic.

Et ils financent eux-mêmes la suite. Avec les revenus des faux clics, ils paient de nouvelles campagnes de malvertising et publient de nouvelles applications. Selon Lindsay Kaye, vice-présidente du renseignement sur les menaces chez HUMAN, ils retournent contre lui les propres outils de l'écosystème publicitaire. Google bloque désormais les comportements liés à Trapdoor via Play Protect. Mais les fraudeurs publiaient encore de nouvelles applications et changeaient de domaines pendant que les chercheurs rédigeaient leur rapport, comme l'a constaté notre confrère TechRadar.

Les chercheurs de HUMAN ont publié la liste complète des applications piégées. Vérifiez votre smartphone Android et désinstallez sans attendre toute application qui y figure, surtout les lecteurs PDF, gestionnaires de fichiers et nettoyeurs de mémoire installés ces derniers mois. Vous pouvez consulter la liste au format HTML ou au format CSV. Les chercheurs ont aussi publié les domaines de contrôle sur cette page.

Source : Techradar Pro