SlopAds : 224 applications Android détournées pour générer 2,3 milliards d’impressions publicitaires quotidiennes

L’équipe de renseignement et de recherche sur les menaces Satori de HUMAN dans un rapport partagé avec The Hacker News a déclaré :

« Ces applications délivrent leur charge utile frauduleuse en utilisant la stéganographie et créent des WebViews cachées pour naviguer vers des sites de retrait appartenant à des acteurs malveillants, générant des impressions publicitaires et des clics frauduleux ».

C’est encore un coup des géants du numérique qui nous espionnent à notre insu. 224 applications s’infiltrent discrètement dans nos téléphones pendant qu’on nous fait croire qu’il s’agit d’outils inoffensifs. Les utilisateurs paient les pots cassés. Ensemble, elles ont été téléchargées 38 millions de fois dans 228 pays et territoires.

Le nom « SlopAds » fait référence à ces applications probablement fabriquées à la chaîne, exploitant des services liés à l’intelligence artificielle comme StableDiffusion, AIGuide et ChatGLM. Ces services sont tous hébergés sur le serveur de commande et contrôle (C2) de l’acteur malveillant.

Google rapporte qu’avant d’être stoppée, cette campagne avait généré 2,3 milliards de demandes d’enchères par jour à son apogée.

Les applications ciblaient principalement les États-Unis (30 %), l’Inde (10 %) et du Brésil (7 %). Le géant américain a retiré ces applications de son Play Store.

Surveillance et exploitation des données personnelles

Ce qui distingue cette activité, c’est son comportement quand vous téléchargez une application liée à SlopAds.

À ce moment-là, elle interroge un SDK d’attribution marketing pour vérifier si vous l’avez installée directement depuis le Play Store de manière organique ou si vous avez cliqué sur une pub qui vous a redirigé vers la fiche de l’appli de manière non organique.

Les géants de la tech exploitent les données personnelles pour enrichir leurs bases de données marketing. Les informations privées sont traquées, vendues et revendues sans que le propriétaire des données ait son mot à dire.

La supercherie ne se déclenche que lorsque l’appli est téléchargée après un clic sur une pub. C’est à ce moment-là qu’elle charge le module frauduleux « FatModule » depuis le serveur de contrôle. En revanche, si l’application a été installée initialement, elle se comporte comme annoncé sur la page de l’App Store.

SlopAds : une fraude publicitaire sur Android associée à 224 applications malveillantes. https://t.co/CRxC6ipP1W pic.twitter.com/s9HU8wW1H9

— Lfd Criminalistique (@info_lfd) September 17, 2025

Les mécanismes de fraude et leur activation

Les concepteurs de cette arnaque ont bien pensé leur coup : seuls ceux qui arrivent par une pub verront leur téléphone infecté.

Cette tactique permet alors aux fraudeurs d’agir seulement s’ils pensent que l’appareil n’est pas surveillé. Ils cachent le trafic malveillant parmi les données normales des campagnes, rendant la fraude difficile à détecter.

Les chercheurs de HUMAN ont tiré la sonnette d’alarme :

« Du développement et de la publication d’applications qui ne commettent des fraudes que dans certaines circonstances à l’ajout de couches successives d’obfuscation, SlopAds renforce l’idée que les menaces qui pèsent sur l’écosystème de la publicité numérique ne font que gagner en sophistication. »

Ces applications frauduleuses arrivent à passer entre les mailles du filet en se cachant derrière des couches complexes de code.

La sophistication croissante des menaces publicitaires numériques

SlopAds représente une menace invisible qui grossit dans l’ombre pendant que les géants de la tech et les autorités se contentent de belles paroles.

Le plus troublant ? Cette méthode rend la détection quasi impossible. Le module FatModule se planque dans quatre fichiers PNG qui cachent l’APK.

Ce virus malin, une fois déchiffré et reconstruit, collecte des informations sur l’appareil et le navigateur, puis lance des arnaques publicitaires via des WebViews invisibles à l’œil nu.

Ce type de logiciel espion représente une menace réelle pour la vie privée. Le plus inquiétant reste cette capacité à se dissimuler dans des images apparemment anodines, pillant vos informations et générant des revenus publicitaires frauduleux pour des entités inconnues.

Satori Threat Intelligence Alert: SlopAds Covers Fraud with Layers of Obfuscationhttps://t.co/DlX2ee1Pti pic.twitter.com/N8eO1YUOcK

— 보안프로젝트 (@ngnicky) September 16, 2025

La sophistication du système SlopAds

Les escrocs derrière SlopAds se remplissent les poches via des sites de jeux HTML5 (H5) et d’actualités qu’ils possèdent, bombardant l’utilisateur de pubs à répétition.

« L’un des mécanismes de retrait de SlopAds passe par les sites web de jeux et d’actualités HTML5 (H5) appartenant aux acteurs malveillants », ont expliqué les chercheurs de HUMAN.

« Ces sites de jeux diffusent fréquemment des publicités, et comme la vue Web dans laquelle ils sont chargés est masquée, ils peuvent monétiser de nombreuses impressions et clics publicitaires avant la fermeture de la vue Web. »

La fenêtre WebView où tout ça se passe étant planquée, ces arnaqueurs empochent l’argent de nombreuses impressions et clics publicitaires avant que la fenêtre ne disparaisse.

Près de 300 domaines suspects font la promo d’applications SlopAds et renvoient tous vers ad2[.]cc, serveur de contrôle Tier-2.

Ad2[.]cc fonctionne comme une plaque tournante pour ces centaines de domaines. Les autorités semblent incapables ou peu désireuses d’agir contre ce type de menace qui cible pourtant directement les données personnelles.

« SlopAds met en évidence la sophistication croissante de la fraude publicitaire mobile, notamment l’exécution furtive et conditionnelle de la fraude et les capacités de mise à l’échelle rapide », a déclaré Gavin Reid, CISO chez HUMAN.

Cette nouvelle survient à peine deux mois après que HUMAN a épinglé un autre ensemble de 352 applications Android impliquées dans l’arnaque IconAds.