1 700 applications falsifiées, 11 millions d'appareils ciblés : une énorme fraude publicitaire mise au jour

26 janvier 2023 à 18h35
7
iPhones © © Daniel Romero / Unsplash
© Daniel Romero / Unsplash

Des chercheurs ont réussi à mettre fin à un gigantesque système de fraude publicitaire, phénomène mondial qui intéresse même Google, et qui, cette fois-ci, a touché plus de 1 700 applications et 11 millions d'appareils.

Lors de sa phase d'activité la plus intense, le malware était capable de générer quotidiennement 12 milliards de requêtes publicitaires frauduleuses.

Vastflux, une arnaque à l'ampleur inédite

Durant l'été 2022, des chercheurs de Human Security ont découvert une immense arnaque publicitaire automatisée, qui a sévi jusqu'en décembre. Ce réseau, dénommé Vastflux, achetait des espaces publicitaires au sein d'applications populaires. En exploitant les failles présentes, les membres du réseau installaient un malware JavaScript qui s'activait lorsqu'une publicité vidéo était visionnée, générant 25 publicités supplémentaires en arrière-plan.

Évidemment, toutes ces publicités étaient monnayées, et Vastflux pouvait ainsi déclencher jusqu'à 12 milliards de requêtes chaque jour. Ce procédé frauduleux a été utilisé pour infecter 1 700 applications et 120 éditeurs. Au total, plus de 11 millions de smartphones ont, sans le vouloir, participé à l'escroquerie.

« Vastflux était une attaque de publicité indésirable qui injectait du code JavaScript malveillant dans les créations publicitaires numériques, permettant aux fraudeurs d'empiler de nombreux lecteurs publicitaires vidéo invisibles les uns derrière les autres et d'enregistrer des vues publicitaires », a déclaré Human Security.

Fort heureusement, en décembre dernier, les serveurs hébergeant l'arnaque ont pu être mis hors-ligne, mettant fin à ce problème en particulier. En revanche, d'autres arnaques, souvent liées à Poséidon, continuent de sévir et sont régulièrement détectées.

Les utilisateurs épargnés, pas les entreprises

Si Vastflux a pu fonctionner pendant des mois, même après avoir été détecté, c'est parce que le fonctionnement de l'arnaque était très bien pensé. Invisible pour les utilisateurs et dotée d'un code discret parfaitement intégré, la fraude a pu prospérer, s'activant dès qu'un appareil lisait une publicité vidéo infectée. De plus, comme l'a indiqué Marion Habiby, experte en mégadonnées, à nos confrères de Wired, les membres du groupe étaient très bien organisés :

« Lorsque j'ai obtenu les résultats du volume de l'attaque, j'ai dû analyser les chiffres plusieurs fois. Il est clair que les fraudeurs étaient bien organisés et qu’ils se sont donné beaucoup de mal pour éviter d’être détectés, s’assurant que leur attaque durerait le plus longtemps possible, et générerait le plus d’argent possible. »

D'après l'étude menée par Human Security, ce sont les iPhone qui ont été visés en priorité. Fondée sur la multiplication des publicités, l'escroquerie n'a visiblement laissé aucune trace dans les appareils des utilisateurs qui ont involontairement participé. En revanche, les publicitaires, dont les activités reposent au moins en partie sur les contenus automatisés, auraient subi un énorme préjudice. Malheureusement, les sommes générées par l'arnaque n'ont pas été dévoilées pour le moment.

Source : The Hack News

A découvrir en vidéo

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
octokitty
Ces chercheurs auraient trouvé cette attaque par accident.<br /> Mais sur mobile, il y a pas mal d’annonces qui sont borderline avec le malvertising.
TNZ
Enfin une « escroquerie » qui se retourne sur les escrocs habituels.<br /> Est ce vraiment une escroquerie ? … y’a un arrière goût justicier solitaire à mon sens.
StephaneGotcha
C’est pas moi qui vais pleurer parce que des publicités en lignes se sont « fait avoir ».<br /> Pour une fois ça change des sites qui ouvrent un pop up de pub par dessus un bouton, 0.2 secondes avant que tu cliques dessus …
brice_wernet
Au final c’est toujours le consommateur qui paye (ben oui, on paye collectivement toutes les pubs qu’on reçoit…)<br /> Et quand quelqu’un détourne de l’argent pour son seul profit, c’est un escroc
TNZ
Tu payes les pubs … des produits que tu achètes. Et si tu ne les achètes pas, ben, tu ne participes pas à cette industrie du mensonge.
brice_wernet
Pas tout à fait, selon la structure du groupe. Si tu achètes de l’eau en bouteille qui appartient à un groupe qui fait du spiritueux et a une filiale pour la pub de ses marques, tu payes la pub (et le sponsoring footbalistique) de la bière du même groupe.
LeChien
Hum, c’est assez tranché dans certains commentaires…<br /> Un annonceur n’est pas obligatoirement un escroc, pas plus qu’un dev qui essaye de se financer comme ça.<br /> Par ailleurs, les dev d’app (puisque c’est de ça qu’il s’agit) ne roulent pas tous sur l’or et ont deux options principalement : faire une app payante ou faire une app gratuite financée par la pub.<br /> (Je ne parle pas des micro transac. abusives, c’est un autre sujet).<br /> L’article dit que la cible principale était les appareils Apple. Un dev qui veut dev pour cette plateforme doit payer un ticket d’entrée annuel même s’il n’a rien publié.<br /> Doit-on attendre des dev’s qu’ils ne retirent aucun profit, ou plutôt compensation ?<br /> Personnellement, je n’ai pas « l’installite aiguë » mais j’ai tendance à choisir le modèle « app gratuite avec pub ». Si elle vaut le coup, je supporte… Sinon je la supprime sans conclure que c’est de l’arnaque.<br /> N’est-ce pas normal de supporter un développeur dont on utilise une application, parfois durant des années ? Ce n’est pas leur pb si des plateformes de pub se font détourner.
Voir tous les messages sur le forum

Derniers actualités

Surfshark VPN, c'est un nombre illimité d'appareils équipés pour un prix mini
Le Samsung Galaxy S20 FE est dispo à très bon prix juste ici
Raider GE78 HX : équipez la nouvelle machine de guerre de MSI avec une RTX 4070, 4080 ou 4090
Le Xiaomi Redmi Note 11 est à moins de 140€ !
Résilier un abonnement en ligne sera plus simple à compter du 1er juin, voilà pourquoi
Ce méga-yacht n'émet pas de CO2, mais de là à dire qu'il est écolo...
Avec ce code promo, le Roborock Q7 Max+ passe sous les 400€ !
46% de réduction sur le SSD interne 2,5
Les monstrueux processeurs AMD EPYC Genoa-X intègrent plus de 1 Go de cache !
Découvrez le nouveau prix en baisse sur le drone DJI Mini 3 !
Haut de page