Cheetah Mobile et Kika Tech

Kochava, un spécialiste de l’attribution et de l’analyse de données mobiles, a découvert une fraude publicitaire massive.

En cause, huit applications Android téléchargées au total plus de 2 milliards de fois du Google Play Store.

Sept de ces applications sont publiées par Cheetah Mobile, une entreprise chinoise cotée au New York Stock Exchange (NYSE).

Une entreprise qui a été accusée il y a un an par Prescience Point Capital Management, une entreprise de recherche en investissements spécialisée dans la découverte de fraudes, d’inventer 57 % de son chiffre d’affaires.

La dernière application est publiée par Kika Tech, une entreprise chinoise dont le siège est désormais dans la Silicon Valley, et qui a recu un investissement de taille de Cheetah Mobile en 2016.

Au total, les applications de ces deux entreprises seraient utilisées par 700 millions de personnes chaque mois.

 

Primes d’installation d’applications mobiles

De nombreux développeurs d’applications mobiles paient des honoraires, souvent de 50 cents à 3 dollars, aux partenaires qui les aident à faire installer leurs applications.

Cheetah Mobile et Kika Tech exploitent des techniques d’injection et d’inondation de clics afin de détecter quand une personne installe une application mobile, puis exploitent ces données pour prétendre avoir incité le téléchargement, et recevoir la prime d’installation.

Les deux entreprises démentent être à l’origine de ces exploitations, affirment qu’elles sont causées par des développeurs tiers abusant du kit de développement (SDK), et promettent d’analyser leur code source pour les rendre impossibles.

Mais d’après Kochava et Method Media Intelligence, les injections et inondations de clics proviennent bien des logiciels propriétaires de ces deux entreprises. Et le SDK utilisé appartient et est développé par Cheetah Mobile.

Le marché de l’installation d’applications mobiles dépasse les 7 milliards de dollars par an annuellement d’après eMarketer. AppsFlyer, une plateforme d’attribution, a analysé 1 milliard d’installations d’applications durant les 12 derniers mois et conclu que 25 % étaient frauduleuses. 1,7 milliard de dollars aurait donc été volé.

Dans le cas normal, une personne clique sur une publicité, puis décide de télécharger et d’installer une application mobile. À son premier lancement, l’application regarde d’où vient le dernier clic. En sachant quel appareil a cliqué et qui a publié la publicité, une plateforme d’attribution peut payer l’annonceur publicitaire.

 

Les dessous de la fraude

Les applications de Cheetah demandent à l’utilisateur les permissions de voir quand une application est téléchargée, et de lancer d’autres applications. En général, les utilisateurs acceptent toujours les demandes de permission, le plus souvent sans les regarder ou sans les comprendre.

Dès qu’une application est téléchargée, et peut être sans qu’une publicité en soit à l’origine, l’application malveillante cherche si elle est sujette à une prime d’installation. Dans ce cas, elle envoie de faux clics avec les informations d’attribution de l’application pertinente, en s’assurant que la prime lui revient, alors même que Cheetah Mobile n’a rien à voir avec le téléchargement et l’installation. C’est ce qu’on appelle l’injection de clics.

Comme assurance supplémentaire, les applications malveillantes sont programmées pour lancer l’application tout juste téléchargée sans que l’utilisateur ne le sache.

Dans le cas de KiKa et de son application de clavier virtuel, l’application exige de l’utilisateur la permission de voir ce qui est tapé (!)

L’application surveille les recherches dans le Play Store, et cherche si des applications similaires sont sujettes à une prime d’installation. Kika bombarde alors des clics avec des informations d’attribution pour s’assurer que toute prime liée à une future installation lui revient.

Pire encore, Kika surveille les recherches dans le Play Store même quand son clavier n’est pas utilisé. Au lieu de bombarder, l’application affiche une publicité pour les applications à primes d’installation. Si l’utilisateur télécharge une de ces applications durant la session, Kika s’attribue son installation alors même que l’utilisateur n’a pas cliqué sur la publicité.

Pour ne pas attirer l’attention, les deux entreprises chinoises utilisent plusieurs artifices, comme le partage des attributions sur une vingtaine de réseaux publicitaires, et qu’ils utilisent parfois des faux noms d’applications.

Ce qui étonne le plus, c’est l’inaction de Google. Confrontée à des preuves en vidéo et en images, on aurait espéré que Google retire toutes les applications de son magasin. Mais Google affirme avoir besoin de plus de temps pour questionner les deux entreprises.