Les internautes du monde entier veulent, à juste titre, assurer leur sécurité lorsqu’ils naviguent sur le web. Cependant, la fraude peut se trouver n’importe où, même dans des applications qui peuvent se présenter comme sûres.
Le Threat Lab d’IAS a récemment découvert un schéma sophistiqué de fraude dans une application de réseau privé virtuel (VPN) destinée aux téléphones Android et appelée Oko VPN. Développée par VIP Internet Security LTD, l’application a été identifiée comme un service VPN gratuit qui anonymise le trafic web de l’utilisateur et a été mise à disposition dans Play Store en juillet 2022.
En réalité, Oko VPN détournait les adresses IP, transformant les téléphones des utilisateurs en dispositifs de relais de fraude. Tout téléphone Android qui installait l’application donnait involontairement son adresse IP à Oko VPN pour qu’elle soit utilisée à des fins de fraude publicitaire. Les fraudeurs exploitaient l’adresse IP de l’utilisateur pour masquer l’origine du trafic et envoyer de fausses impressions publicitaires aux plateformes de streaming vidéo. Cette stratégie de détournement d’IP est appelée "proxy résidentiel".
Cette application présentait également un risque pour le matériel car le trafic illicite transitant par les réseaux domestiques des utilisateurs, rendait possible d’autres attaques sur les réseaux domestiques des utilisateurs - d’où la nécessité de retirer immédiatement l’application du Google Play Store.
Après avoir détecté l’application malveillante en mars 2023, le Threat Lab d’IAS a contacté l’équipe de Google Play Store, qui a mené sa propre enquête et confirmé les conclusions du Threat Lab. Après que le Threat Lab a identifié le schéma de fraude, IAS a informé Google, qui a immédiatement supprimé l’application et mis en œuvre Google Play Protect, qui avertit les utilisateurs et les invite à désinstaller l’application malveillante.
Oko VPN a connu une croissance exponentielle, avec plus d’un million d’utilisateurs au moment de son retrait. L’équipe du Threat Lab estime qu’Oko VPN générait environ 100 millions d’impressions frauduleuses par mois au moment de son retrait du Google Play Store. L’équipe estime que 10 millions de dollars de dépenses publicitaires ont été gaspillées.
Les fraudes de ce type sont malheureusement assez courantes, et les annonceurs doivent en être conscients. Le Threat Lab d’IAS s’efforce en permanence d’identifier de nouvelles fraudes, afin de protéger les annonceurs, les éditeurs et les consommateurs contre la fraude publicitaire en ligne.
IAS a créé le Threat Lab afin de fournir une reconnaissance ciblée des systèmes de fraude nouveaux et émergents. L’équipe utilise l’analyse de données et l’ingénierie inverse pour découvrir les systèmes de fraude et déterminer comment ils fonctionnent, ce qui lui permet de protéger les annonceurs, les éditeurs et les consommateurs en travaillant avec des partenaires et les autorités pour démanteler les réseaux de fraude.