Repérer l'usurpation de SDK et la fraude publicitaire mobile

Le mobile représente désormais la majorité du trafic Internet. En fait, avec 6,39 milliards d'utilisateurs de smartphones dans le monde, plus de personnes consomment des médias basés sur Internet que la télévision.

Cela fait de la publicité sur Internet mobile une plate-forme de plus en plus importante pour les spécialistes du marketing numérique. Et cela signifie également que les cybercriminels concentrent leurs efforts sur la recherche de moyens d'escroquer et de gagner de l'argent à partir du mobile.

Le principal moyen d'économiser de l'argent sur les publicités numériques consiste à utiliser la fraude publicitaire mobile. Cela implique normalement une sorte d'infiltration du SDK à l'aide de logiciels malveillants. Avant d'aller plus loin, décomposons ce que cela signifie.

Qu'est-ce que l'usurpation de SDK ?

L'usurpation de SDK se produit lorsqu'un kit de développement logiciel (SDK), qui est un ensemble de logiciels utilisé pour créer des programmes, contient une tranche de code malveillant. Un SDK peut être utilisé pour créer une application, un programme de bureau ou un plug-in - bien que le kit lui-même soit normalement destiné à une utilisation spécifique telle que les applications.

L'élément malveillant de ces SDK est souvent caché, généralement sous la forme d'une « porte dérobée ». Cela signifie que des éléments supplémentaires peuvent être ajoutés ultérieurement, ou "chargés latéralement", ce qui signifie essentiellement qu'une fois que le logiciel ou l'application a été installé sur un appareil, la partie malveillante est livrée via une mise à jour.

Comme les SDK sont le moyen le plus populaire de créer des applications, les développeurs ne sont généralement pas au courant des logiciels malveillants.

Il existe de nombreux SDK disponibles et un développeur peut créer plusieurs applications par semaine pour ses clients. S'ils utilisent un SDK qui contient un élément malveillant, cela peut signifier que des centaines, voire des milliers d'applications malveillantes sont publiées involontairement par les développeurs.

L'usurpation du SDK est souvent effectuée à l'insu du développeur ou du propriétaire de l'application. Mais avec l'open source de certains SDK, ils peuvent souvent être infiltrés et avoir du code malveillant inséré plus tard.

Avec le code malveillant désormais en place, le SDK peut agir comme un bot, effectuant des activités telles que la visualisation de publicités ou effectuant des attaques par injection de clics ou par détournement de clics pour réclamer le crédit des installations.

Comment fonctionne la fraude publicitaire mobile

La fraude publicitaire mobile et l'usurpation de SDK vont de pair et constituent l'un des moyens les plus simples de commettre une fraude au clic en ligne.

La publicité mobile représentant désormais plus de 70 % de l'ensemble du marketing en ligne, les fraudeurs ont toute latitude pour faire preuve de créativité.

La fraude publicitaire est le processus consistant à générer de fausses vues ou impressions sur une publicité pour percevoir un paiement. Cela se fait normalement en usurpant un site Web, c'est-à-dire en créant un faux site Web, puis en hébergeant des publicités sur la page. Les robots sont ensuite utilisés pour générer des impressions et faire gagner de l'argent aux annonceurs.

Avec la fraude publicitaire mobile et l'usurpation de SDK, les éléments malveillants de ces applications frauduleuses peuvent simplement afficher des publicités sur une page Web masquée ou dans l'application.

Exemples d'usurpation de SDK et de fraude publicitaire mobile

L'un des exemples les plus tristement célèbres d'usurpation de SDK est DrainerBot. Ce logiciel malveillant intégré dans un SDK a été utilisé pour générer des vues sur des publicités vidéo à l'insu des utilisateurs de l'appareil. En exécutant des vidéos en arrière-plan, DrainerBot a utilisé des masses de données et de batterie, aspirant parfois 10 Go de données en quelques semaines.

Le SDK DrainerBot a été distribué via une société basée aux Pays-Bas, bien qu'elle ait nié toute connaissance du logiciel malveillant. Cependant, on pense que les applications contenant DrainerBot ont été téléchargées plus de 10 millions de fois par des utilisateurs involontaires.

SourMint est un autre exemple bien connu d'infiltration de SDK et de fraude publicitaire. En utilisant un SDK appelé Mintegral, on pense que SourMint a été l'une des plus grandes opérations d'usurpation de SDK à avoir eu lieu sur des appareils iOS.

Avec trois mille et demi d'applications créées à l'aide de Mintegral, on pense que les applications SourMint ont été téléchargées des milliards de fois sur plusieurs années.

SourMint a utilisé l'injection de clics pour revendiquer de fausses installations et générer également de fausses impressions sur les publicités display et vidéo.

Cliquez sur l'injection et les fausses installations

L'usurpation de SDK est souvent utilisée pour désigner l'acte d'injection de clics ou de détournement de clics. C'est là que l'élément malveillant utilisera un véritable engagement de l'utilisateur (une touche d'écran) pour cliquer sur plusieurs éléments cachés cachés à l'écran.

Ces clics détournés peuvent ensuite réclamer un crédit pour les installations d'applications, les clics sur les publicités et même les ventes.

Même si un utilisateur installe véritablement une application plus tard, le logiciel malveillant peut revendiquer le mérite des installations organiques. Ainsi, l'usurpation du SDK entraîne des paiements non gagnés à une partie frauduleuse, l'éditeur légitime perdant à la fois des revenus et, potentiellement, des dommages à sa réputation.

Il convient également de noter que ces fausses installations peuvent être attribuées via l'usurpation de SDK à partir d'applications, d'extensions ou même de certains sites Web.

L'impact du SDK Spoofing et de la fraude publicitaire mobile

L'impact évident de cette forme de fraude publicitaire est financier. Les annonceurs paient pour les faux clics ou les fausses installations, et les utilisateurs d'appareils paient pour l'utilisation des données et de la batterie.

Des recherches menées par l'Université de Baltimore en collaboration avec Cheq ont révélé que la fraude publicitaire a coûté plus de 35 milliards de dollars aux spécialistes du marketing en 2020. On pense que la majorité de cela se produit via des appareils mobiles.

Au-delà de l'impact financier, l'usurpation de SDK fausse également les analyses et les performances publicitaires. Si vous payez pour faire de la publicité sur un écosystème d'applications mobiles et qu'il semble que vous obteniez beaucoup de clics et de conversions, vous pensez peut-être que votre budget publicitaire est bien dépensé.

Si, toutefois, un grand pourcentage de ces clics et impressions sont truqués, continuerez-vous à payer le même prix ou plus à ces plateformes.

Le problème de la fraude publicitaire est même exacerbé par les annonceurs utilisant des campagnes de reciblage. Ces sources de clics frauduleux sont ensuite ciblées par des publicités de remarketing, ce qui signifie que les annonceurs paient plusieurs fois pour les mauvais clics.

Comment repérer (et bloquer) les clics frauduleux sur les publicités mobiles

Avec toutes les fraudes au clic et les fraudes publicitaires, il y a des cadeaux que le trafic ne provient pas de véritables utilisateurs humains. L'usurpation de SDK amplifie souvent les effets des clics d'utilisateurs authentiques ou génère des vues à l'insu des utilisateurs.

Le moyen le plus courant de repérer le trafic frauduleux est le volume élevé de clics ou les pics de trafic. Ceci, associé à des taux de rebond élevés, tend à indiquer qu'une sorte de fraude par bot ou de faux trafic se produit.

En ce qui concerne la fraude publicitaire mobile, en particulier les fausses installations, un autre cadeau est le moment de l'installation. La plupart des installations d'applications ou de logiciels organiques se produisent dans l'heure suivant le premier clic, idéalement dans les dix minutes.

En fait, moins de 25 % des installations ont lieu une heure après le premier clic. Si votre temps d'installation semble particulièrement élevé, cela devrait être un drapeau rouge majeur.

Repérer les doublons d'adresses IP ou les activités suspectes de certaines adresses IP est également essentiel pour repérer le trafic frauduleux. Bien qu'il soit possible de repérer et de bloquer le trafic manuellement, cela peut être extrêmement long et fastidieux. Ainsi, de plus en plus, les entreprises se tournent vers des solutions logicielles automatisées pour la prévention dynamique de la fraude.

Les meilleures solutions de prévention de la fraude

ClickCease et Cheq offrent tous deux des fonctionnalités pour empêcher la fraude publicitaire mobile et réduire l'impact de l'usurpation de SDK. Grâce aux analyses proposées par ClickCease, les annonceurs peuvent avoir un aperçu des performances réelles de leurs publicités et comprendre d'où provient le trafic frauduleux.

L'utilisation de ClickCease donne aux spécialistes du marketing un contrôle supplémentaire sur leurs placements publicitaires. Avec la meilleure protection en temps réel du secteur et une liste noire croissante de sources de fraude connues, ClickCease protège plus de deux fois plus de campagnes publicitaires que tous les autres produits de prévention de la fraude au clic combinés.

La protection contre la fraude au clic et la fraude publicitaire est devenue une nécessité pour tout professionnel du marketing. Inscrivez-vous pour un audit gratuit de fraude aux clics avec ClickCease et bloquez ces bots et ces faux clics.