{"id":1240980,"date":"2024-07-16T12:27:00","date_gmt":"2024-07-16T14:27:00","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-fraude-publicitaire-konfety-utilise-plus-de-250-applications-google-play-pour-masquer-des-jumeaux-malveillants\/"},"modified":"2024-07-16T12:27:05","modified_gmt":"2024-07-16T14:27:05","slug":"la-fraude-publicitaire-konfety-utilise-plus-de-250-applications-google-play-pour-masquer-des-jumeaux-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-fraude-publicitaire-konfety-utilise-plus-de-250-applications-google-play-pour-masquer-des-jumeaux-malveillants\/","title":{"rendered":"La fraude publicitaire \u00ab Konfety \u00bb utilise plus de 250 applications Google Play pour masquer des jumeaux malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 mobile \/ S\u00e9curit\u00e9 en ligne<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/La-fraude-publicitaire-Konfety-utilise-plus-de-250.png\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Des d\u00e9tails ont \u00e9merg\u00e9 \u00e0 propos d&#8217;une \u00ab op\u00e9ration massive de fraude publicitaire \u00bb qui exploite des centaines d&#8217;applications sur le Google Play Store pour effectuer une multitude d&#8217;activit\u00e9s n\u00e9fastes.<\/p>\n<p>La campagne a \u00e9t\u00e9 baptis\u00e9e \u00ab\u00a0nom de code\u00a0\u00bb <strong>Confettis<\/strong> \u2013 le mot russe pour Bonbon \u2013 en raison de son utilisation abusive d\u2019un kit de d\u00e9veloppement logiciel de publicit\u00e9 mobile (SDK) associ\u00e9 \u00e0 un r\u00e9seau publicitaire bas\u00e9 en Russie appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/CaramelAds\" target=\"_blank\">CaramelAds<\/a>.<\/p>\n<p>\u00ab Konfety repr\u00e9sente une nouvelle forme de fraude et d&#8217;obfuscation, dans laquelle les acteurs de la menace exploitent des versions \u00ab jumelles mal\u00e9fiques \u00bb d&#8217;applications \u00ab jumelles leurres \u00bb disponibles sur les principales places de march\u00e9 \u00bb, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe de renseignement sur les menaces Satori de HUMAN dans un rapport technique partag\u00e9 avec The Hacker News.<\/p>\n<p>Alors que les applications leurres, au nombre de plus de 250 au total, sont inoffensives et distribu\u00e9es via le Google Play Store, leurs \u00ab jumeaux mal\u00e9fiques \u00bb respectifs sont diffus\u00e9s via une campagne de malvertising con\u00e7ue pour faciliter la fraude publicitaire, surveiller les recherches sur le Web, installer des extensions de navigateur et charger du code de fichiers APK sur les appareils des utilisateurs.<\/p>\n<p>L&#8217;aspect le plus inhabituel de la campagne est que le jumeau mal\u00e9fique se fait passer pour le jumeau leurre en usurpant l&#8217;identifiant de l&#8217;application et l&#8217;identifiant de l&#8217;\u00e9diteur publicitaire de ce dernier pour diffuser des publicit\u00e9s. Les applications leurre et jumelle mal\u00e9fique fonctionnent sur la m\u00eame infrastructure, ce qui permet aux acteurs malveillants d&#8217;\u00e9tendre leurs op\u00e9rations de mani\u00e8re exponentielle selon les besoins.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Cela \u00e9tant dit, non seulement les applications leurres se comportent normalement, mais la majorit\u00e9 d&#8217;entre elles n&#8217;affichent m\u00eame pas de publicit\u00e9s. Elles int\u00e8grent \u00e9galement un avis de consentement au RGPD.<\/p>\n<p>\u00ab Ce m\u00e9canisme de \u00ab leurre\/jumeau mal\u00e9fique \u00bb pour l&#8217;obfuscation est une nouvelle fa\u00e7on pour les acteurs malveillants de pr\u00e9senter le trafic frauduleux comme l\u00e9gitime \u00bb, ont d\u00e9clar\u00e9 les chercheurs de HUMAN. \u00ab \u00c0 son apog\u00e9e, le volume programmatique li\u00e9 \u00e0 Konfety a atteint 10 milliards de requ\u00eates par jour. \u00bb<\/p>\n<p>En d&#8217;autres termes, Konfety exploite les capacit\u00e9s de rendu publicitaire du SDK pour commettre une fraude publicitaire en rendant beaucoup plus difficile la distinction entre le trafic malveillant et le trafic l\u00e9gitime.<\/p>\n<p>Les applications jumelles mal\u00e9fiques Konfety seraient propag\u00e9es via une campagne de malvertising faisant la promotion de mods APK et d&#8217;autres logiciels comme Letasoft Sound Booster, avec les URL pi\u00e9g\u00e9es h\u00e9berg\u00e9es sur des domaines contr\u00f4l\u00e9s par des attaquants, des sites WordPress compromis et d&#8217;autres plateformes qui permettent le t\u00e9l\u00e9chargement de contenu, notamment Docker Hub, Facebook, Google Sites et OpenSea.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721140020_450_La-fraude-publicitaire-Konfety-utilise-plus-de-250.png\" style=\"display: block; text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721140020_450_La-fraude-publicitaire-Konfety-utilise-plus-de-250.png\" alt=\"\" border=\"0\" data-original-height=\"832\" data-original-width=\"1640\"\/><\/a><\/div>\n<p>Les utilisateurs qui finissent par cliquer sur ces URL sont redirig\u00e9s vers un domaine qui les incite \u00e0 t\u00e9l\u00e9charger l&#8217;application malveillante Evil Twin, qui, \u00e0 son tour, agit comme un dropper pour une premi\u00e8re \u00e9tape d\u00e9crypt\u00e9e \u00e0 partir des ressources du fichier APK et utilis\u00e9e pour configurer les communications de commande et de contr\u00f4le (C2).<\/p>\n<p>L&#8217;\u00e9tape initiale tente en outre de masquer l&#8217;ic\u00f4ne de l&#8217;application sur l&#8217;\u00e9cran d&#8217;accueil de l&#8217;appareil et ex\u00e9cute une charge utile DEX de deuxi\u00e8me \u00e9tape qui effectue une fraude en diffusant des publicit\u00e9s vid\u00e9o hors contexte et en plein \u00e9cran lorsque l&#8217;utilisateur est sur son \u00e9cran d&#8217;accueil ou utilise une autre application.<\/p>\n<p>\u00ab Le c\u0153ur de l&#8217;op\u00e9ration Konfety r\u00e9side dans les applications jumelles mal\u00e9fiques \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Ces applications imitent leurs applications jumelles leurres correspondantes en copiant leurs identifiants d&#8217;application\/de package et leurs identifiants d&#8217;\u00e9diteur \u00e0 partir des applications jumelles leurres. \u00bb<\/p>\n<p>\u00ab Le trafic r\u00e9seau d\u00e9riv\u00e9 des applications jumelles mal\u00e9fiques est fonctionnellement identique au trafic r\u00e9seau d\u00e9riv\u00e9 des applications jumelles leurres\u00a0; les impressions publicitaires rendues par les jumelles mal\u00e9fiques utilisent le nom du package des jumelles leurres dans la requ\u00eate. \u00bb<\/p>\n<p>D&#8217;autres capacit\u00e9s du malware incluent l&#8217;utilisation du SDK CaramelAds comme arme pour visiter des sites Web \u00e0 l&#8217;aide du navigateur Web par d\u00e9faut, l&#8217;incitation des utilisateurs en leur envoyant des notifications les invitant \u00e0 cliquer sur les faux liens ou le chargement lat\u00e9ral de versions modifi\u00e9es d&#8217;autres SDK publicitaires.<\/p>\n<p>Ce n&#8217;est pas tout. Les utilisateurs qui installent les applications Evil Twins sont invit\u00e9s \u00e0 ajouter un widget de barre d&#8217;outils de recherche \u00e0 l&#8217;\u00e9cran d&#8217;accueil de l&#8217;appareil, qui surveille subrepticement leurs recherches en envoyant les donn\u00e9es \u00e0 des domaines nomm\u00e9s vptrackme[.]com et vous recherchez[.]com.<\/p>\n<p>\u00ab Les acteurs malveillants comprennent que l&#8217;h\u00e9bergement d&#8217;applications malveillantes sur les stores n&#8217;est pas une technique stable et trouvent des moyens cr\u00e9atifs et astucieux pour \u00e9chapper \u00e0 la d\u00e9tection et commettre des fraudes durables \u00e0 long terme \u00bb, concluent les chercheurs. \u00ab Les acteurs qui cr\u00e9ent des soci\u00e9t\u00e9s de SDK de m\u00e9diation et diffusent le SDK pour abuser des \u00e9diteurs de haute qualit\u00e9 sont une technique en pleine croissance. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/konfety-ad-fraud-uses-250-google-play.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 juillet 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 mobile \/ S\u00e9curit\u00e9 en ligne Des d\u00e9tails ont \u00e9merg\u00e9 \u00e0 propos d&#8217;une \u00ab op\u00e9ration massive de fraude publicitaire \u00bb qui exploite des centaines d&#8217;applications sur le Google Play Store pour effectuer une multitude d&#8217;activit\u00e9s n\u00e9fastes. La campagne a \u00e9t\u00e9 baptis\u00e9e \u00ab\u00a0nom de code\u00a0\u00bb Confettis \u2013 le mot russe pour Bonbon \u2013 en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1240981,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,8361,4168,4165,133,5473,7755,3750,242046,238584,200271,4590,20933,238334,98340,8917,185,23938,238617,4172,4169,1282,4166,238583],"class_list":["post-1240980","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-applications","tag-comment-pirater","tag-cyber-attaques","tag-des","tag-fraude","tag-google","tag-jumeaux","tag-konfety","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-malveillants","tag-masquer","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-play","tag-pour","tag-publicitaire","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1240980","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1240980"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1240980\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1240981"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1240980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1240980"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1240980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}