Fraude mobile : des comptes développeurs « zombies » détournent les budgets publicitaires

DoubleVerify met en garde contre une forme de fraude mobile en pleine expansion : l’utilisation de comptes développeurs Android inactifs, réactivés de manière malveillante, pour diffuser des applications frauduleuses et capter les budgets publicitaires.

Selon l’étude publiée par le Fraud Lab de DoubleVerify, cette méthode permet aux fraudeurs de contourner plus facilement les contrôles de sécurité des boutiques d’applications, en s’appuyant sur des comptes légitimes déjà établis. Traditionnellement, les fraudeurs créaient de nouveaux comptes développeurs pour publier leurs applications malveillantes. Mais ces nouveaux profils sont désormais davantage surveillés par les plateformes comme le Google Play Store.

Pour contourner cette vigilance, certains acteurs malveillants piratent des comptes développeurs légitimes restés inactifs pendant plusieurs mois, voire plusieurs années. Une fois le contrôle obtenu, ils les réactivent et les utilisent comme façade crédible pour publier de nouvelles applications frauduleuses.

Les applications diffusées via ces comptes ne sont pas nécessairement défaillantes sur le plan technique. Elles peuvent sembler fonctionnelles, notamment lorsqu’il s’agit de jeux mobiles, mais leur véritable objectif est de générer un volume important de trafic invalide afin de détourner les dépenses publicitaires.

Ces applications diffusent souvent des publicités intrusives ou hors contexte, tout en négligeant l’expérience utilisateur. Dans certains cas, elles peuvent également dégrader les performances du téléphone, notamment en sollicitant excessivement la batterie.

Les équipes de DoubleVerify ont identifié plusieurs indices révélateurs de cette activité frauduleuse : des pics de trafic anormalement élevés à des horaires inhabituels, une croissance très rapide après le lancement malgré l’absence de visibilité marketing, ainsi que des comportements incompatibles avec un usage humain réel.

L’analyse a également mis en évidence des similitudes techniques entre plusieurs applications publiées depuis des comptes différents, notamment dans leur infrastructure et leur architecture logicielle, ce qui laisse penser à une opération coordonnée à grande échelle.

Pour les annonceurs, le danger est important. En exploitant des comptes développeurs disposant déjà d’un historique crédible, cette fraude peut passer sous les radars des mécanismes traditionnels de vérification. Les conséquences sont multiples : gaspillage des budgets médias, indicateurs de performance artificiellement gonflés, mauvaise optimisation des campagnes et risque d’exposition de la marque à des environnements peu qualitatifs, voire malveillants.

DoubleVerify souligne que les protections fondées uniquement sur la réputation historique d’un compte ne suffisent plus. L’entreprise recommande de compléter ces approches par une analyse comportementale en temps réel, capable d’identifier les interactions non humaines et les anomalies de trafic dès leur apparition.

Cette évolution apparaît désormais essentielle pour mieux protéger les campagnes publicitaires dans un environnement mobile où les techniques de fraude deviennent de plus en plus sophistiquées.