Andrey Meshkov d’AdGuard Research a découvert que deux bloqueurs de publicité étaient faux et malicieux. Il s’agit de AdBlock par AdBlock Inc et uBlock par Charlie Lee.
Leurs auteurs leur ont intentionnellement conféré des noms strictement similaires (AdBlock par getadblock.com), ou presque similaires (uBlock Origin) aux vrais bloqueurs de publicité, afin que les personnes effectuant une recherche de bloqueurs de publicité se trompent.
Meshkov s’est aperçu que ces logiciels malveillants fonctionnent comme un vrai bloqueur de publicité pendant 55 heures. À partir de ce moment-là, ils effectuent de toutes autres commandes.
Elles examinent chacun des noms de domaine nouvellement visités, vérifient si le site a un programme d’associés, et si c’est le cas, envoient une URL spéciale qui leur permet de recevoir un cookie d’associé.
Si le surfeur achète quelque chose sur ce domaine, par exemple une licence de Teamviewer sur le site teamviewer.com, l’auteur du logiciel malveillant reçoit alors une commission sur la vente.
Cette technique, appelée Cookie stuffing, est une fraude à la publicité numérique.
Ces deux logiciels malveillants ont plus de 1,6 million d’utilisateurs actifs hebdomadaires, et leurs navigateurs sont remplis de plus de 300 cookies différents, ce qui doit rapporter à leurs auteurs plusieurs millions d’euros par mois.
Google vient certes de les retirer de Chrome Web Store.
Ce qui dérange, c’est qu’il aura fallu un fort écho médiatique avant que Google se décide à agir, alors que l’entreprise a reçu de multiples rapports depuis des mois, sans bouger le petit doigt.
Pire encore, le magasin virtuel persiste à accepter des extensions aux mêmes noms, ou avec des noms très similaires à des extensions existantes, ce qui est le meilleur moyen de perpétrer les fraudes à grande échelle.
UBlock Plus est ainsi un logiciel malveillant qui est toujours distribué en toute impunité par le Chome Web Store.
Or les utilisateurs ne sont pas les seuls à se laisser tromper. Des sites comme Android Central recommandent ainsi le faux AdBlock à ses lecteurs.
La meilleure solution serait que Google A. interdise les noms similaires et B. analyse le code des extensions téléchargées périodiquement, afin de détecter s’il est changé.
La seule conséquence positive de cette découverte et que les agences de publicité flouées pourront tenter d’identifier les criminels en suivant les paiements.