Ad Fraud

🔍 Contexte Publié le 19 mai 2026 par Imran Azad sur le blog de HUMAN Security, cet article présente les conclusions de l’équipe Satori Threat Intelligence and Research Team concernant l’opération Trapdoor, une campagne de fraude publicitaire Android de grande envergure détectée et neutralisée par HUMAN. 🎯 Description de l’opération Trapdoor Trapdoor est un schéma Android multi-étapes qui fusionne malvertising (distribution) et fraude publicitaire (monétisation) en un système auto-entretenu : 455 applications Android malveillantes impliquées 183 domaines C2 contrôlés par les acteurs de la menace 659 millions de bid requests par jour au pic de l’activité 24 millions de téléchargements d’applications liées à l’opération ⚙️ Mécanisme en deux étapes Étape 1 – Distribution via malvertising : L’utilisateur télécharge une application utilitaire légitime en apparence (ex : lecteur PDF) depuis le Google Play Store. Après installation, l’app lance des campagnes de malvertising affichant une fausse alerte de mise à jour. Si l’utilisateur clique, une seconde application malveillante est installée. ...

L’article publié par PolySwarm met en lumière la réapparition du malware Android Konfety, connu pour ses capacités d’évasion sophistiquées telles que le chargement dynamique de code et l’obfuscation multi-couches. Ce malware est principalement utilisé pour des fraudes publicitaires tout en évitant la détection par les systèmes de sécurité. Konfety utilise des techniques d’injection à l’exécution où le fichier DEX principal gère l’installation initiale avant de déléguer les opérations à un fichier DEX secondaire caché, déchiffré à partir d’actifs APK cryptés. Les incohérences dans le fichier AndroidManifest.xml servent d’indicateurs de détection, avec des composants non déclarés. ...