Fraude publicitaire IconAds

Des chercheurs en cybersécurité ont découvert et démantelé une vaste opération de fraude publicitaire mobile impliquant des centaines d'applications Android trompeuses. Baptisée IconAds, cette campagne a utilisé des tactiques d'évasion sophistiquées, infiltré les boutiques d'applications officielles et exploité des utilisateurs peu méfiants pour engranger d'importants profits publicitaires.

IconAds : une opération de fraude publicitaire furtive et déguisée

Des chercheurs ont récemment découvert un réseau de fraude publicitaire Android baptisé IconAds, composé de 352 applications malveillantes. Ces applications étaient conçues pour afficher des publicités intrusives hors contexte directement sur l'écran des utilisateurs, tout en masquant leur présence depuis le lanceur de l'appareil, rendant leur suppression manuelle quasiment impossible. Heureusement, Google a depuis retiré ces applications du Play Store.

À son apogée, IconAds générait jusqu'à 1,2 milliard de demandes d'enchères publicitaires par jour. Le trafic provenait principalement du Brésil, du Mexique et des États-Unis, témoignant d'une approche de ciblage large mais régionale.

IconAds n'est pas entièrement nouveau. Il partage des caractéristiques avec d'autres menaces connues, identifiées sous des noms tels que HiddenAds et Vapor, qui échappent régulièrement aux défenses du Play Store depuis au moins 2019.

Tactiques trompeuses et comportement persistant

Les tactiques principales d'IconAds reposent sur la discrétion et la persistance. Ces applications :

• Utilisez l’obfuscation pour masquer les informations spécifiques à l’appareil pendant les communications réseau.
• Utilisez des modèles de dénomination cohérents pour leurs domaines de commandement et de contrôle (C2).
• Remplacez l'activité MAIN/LAUNCHER par défaut de l'application par un alias pour contrôler l'apparence et le comportement de l'application.

À l'installation, l'application affiche initialement une étiquette et une icône normales. Cependant, une fois lancée, elle active un alias d'activité masqué qui persiste, même après un redémarrage, provoquant la disparition de l'application de l'écran d'accueil. Ce tour de passe-passe empêche les utilisateurs de localiser ou de désinstaller facilement l'application.

L'objectif ultime ? Diffuser des publicités interstitielles plein écran qui perturbent l'utilisateur, quelle que soit l'application légitime utilisée.

Dans certains cas, des variantes d'IconAds se font passer pour le Google Play Store ou d'autres applications Google de confiance. Ces applications leurres redirigent les utilisateurs vers des applications légitimes tout en exécutant silencieusement des activités frauduleuses en arrière-plan.

Évasion et évolution : une cible mouvante

À mesure qu'IconAds a évolué, les nouvelles itérations intègrent désormais des couches d'évasion supplémentaires :

• Vérifications de licence qui désactivent les comportements malveillants si l'application est téléchargée (une technique courante lors de l'analyse de sécurité).
• Obfuscation améliorée pour compliquer l'inspection statique et dynamique.

Ces applications ont également une durée de vie volontairement courte, souvent supprimées rapidement après leur détection, pour être réintroduites avec un code modifié et de nouvelles identités. Les chercheurs préviennent que les IconAds continueront probablement de s'adapter et de réapparaître sous différentes formes.

Kaléidoscope : L’essor des applications Evil Twin

Dans une découverte connexe, des experts ont démasqué Kaleidoscope, une fraude publicitaire utilisant ce que les chercheurs appellent la technique du « jumeau maléfique ». Ce modèle implique deux versions quasi identiques d'une application :

• Un « jumeau leurre » bénin hébergé sur le Google Play Store.
• Un « jumeau maléfique » malveillant circule via des boutiques d'applications tierces ou des sites Web contrefaits.

L'homologue malveillant génère des impressions publicitaires frauduleuses à l'aide de publicités plein écran, sans aucune interaction de l'utilisateur, tout en exploitant le même identifiant d'application que le leurre pour inciter les annonceurs à payer pour un faux engagement.

Kaleidoscope est une évolution d'un système similaire appelé Konfety, qui utilisait initialement le SDK CaramelAds. Dans sa dernière version, les références à CaramelAds ont été supprimées et ses fonctions principales ont été réintégrées dans des SDK nouvellement nommés comme Leisure, Raccoon et Adsclub afin de limiter le suivi et l'attribution.

Portée mondiale et liens commerciaux

Entre décembre 2024 et mai 2025, Kaleidoscope a touché un large éventail d'utilisateurs Android, notamment en Amérique latine, en Turquie, en Égypte et en Inde. Ces régions sont particulièrement vulnérables en raison de la forte présence de boutiques d'applications tierces.

Les principales caractéristiques de Kaleidoscope incluent :

• Annonces interstitielles plein écran déclenchées sans intervention de l'utilisateur.
• Vues d'annonces frauduleuses acheminées via des versions d'applications malveillantes.
• Usurpation d'identité d'identifiants d'application légitimes pour maximiser les revenus publicitaires.

Une grande partie de la monétisation de Kaleidoscope est imputable à une société portugaise nommée Saturn Dynamic, qui prétend fournir des services légitimes de monétisation publicitaire. Cependant, son infrastructure semble avoir contribué à la fraude publicitaire à grande échelle via la distribution et la monétisation de ces applications trompeuses.

Réflexions finales : un paysage de menaces en constante évolution

IconAds et Kaleidoscope illustrent tous deux l'évolution de la fraude publicitaire mobile. Ces opérations brouillent la frontière entre comportement légitime et malveillant en dissimulant des activités nuisibles derrière des applications pourtant inoffensives. Face à l'évolution constante des tactiques de ces menaces, il est essentiel que les plateformes d'applications, les développeurs et les utilisateurs restent vigilants et que les professionnels de la cybersécurité anticipent les mécanismes de fraude de plus en plus évasifs.