Fraude publicitaire mobile : quelles sont les menaces et comment Adjust y fait face ?

Par Adjust

La fraude publicitaire mobile est en hausse. Les pertes liées à la fraude publicitaire mobile en 2018 pourraient se chiffrer en milliards de dollars. Avec notamment une augmentation du taux de rejet des installations payantes de 7 %, les dommages sont estimés à environ 4,9 milliards de dollars. C’est pourquoi des entreprises comme Adjust, leader de l’attribution et de la mesure mobile, se sont engagées dans la lutte contre ce véritable fléau auquel l’industrie mobile est confrontée aujourd’hui.

Voici les principaux types de fraude et comment Adjust les combat.

Injection de clics

La première fraude à l’injection de clics a été détectée au moment où nous avons remarqué que certains clics semblaient vraiment trop proches de l’installation qui leur était attribuée. Ce constat a été mis en évidence dans les graphiques « Click-To-Install-Time » (ou CTIT) sous la forme d’un pic d’activité considérable dès le début de la visualisation des données. Les chercheurs ont alors été alertés sur l’éventualité d’une «fraude d’attribution» présente dans le data set. À ce moment là, tout le monde ignorait comment ces clics étaient générés ou d’où ils venaient.

Certains acteurs de l’industrie ont eu l’idée de créer un filtre à partir de la détection de type dans le but d’identifier les CTIT « impossibles ». Concrètement, ce filtre permettait de rejeter automatiquement toute installation qui avait lieu dans un intervalle de quelques secondes à partir du clic.
Simple dans son exécution, cette solution ne permettait malheureusement pas d’endiguer le problème.

Adjust a donc approfondi ses recherches et travaillé en amont pour mettre au point un système de filtrage plus fiable. Au cours de notre enquête, nous avons trouvé la fonction que les fraudeurs utilisent pour générer ces «clics injectés», au sein du système d’exploitation Android. Il s’agit essentiellement d’utiliser les notifications que les applications reçoivent lorsqu’une autre application est installée sur le même appareil.

Cette découverte nous a permis d’identifier de meilleurs horodatages pour exécuter le filtre lors de la première ouverture de l’application. Au lieu de filtrer uniquement les injections de clics lorsque les utilisateurs ouvrent l’application rapidement après l’installation, nous avons trouvé un moyen de bloquer jusqu’à 5 fois le nombre d’attributions. Vous trouverez d’autres informations à ce sujet dans cet article.
D’autres recherches ont même mené à un projet commun avec Google qui nous a donné accès à un horodatage filtrable par « oui » ou « non » définitif : le clic sur le bouton «Télécharger».

L’approche originale adoptée par le marché (à savoir : établir une longueur obligatoire arbitraire du CTIT) est aussi utile qu’écoper dans un bateau qui prend l’eau. Autrement dit, il s’agissait de tenter d’arrêter le type de fraude sans traiter le problème qui en est à l’origine. Alors que certains systèmes ont choisi cette voie, nous sommes allés plus loin.

Click spamming

La méthode la plus répandue chez les fraudeurs pour obtenir les attributions d’utilisateurs aléatoires consiste à spammer les fournisseurs d’attribution comme Adjust avec un grand nombre de clics.

De cette façon, ils peuvent faire correspondre aléatoirement les ID des appareils (qui sont siphonnés à partir des flux publicitaires et d’autres sources) ou les empreintes digitales des installations légitimes. Enfin, iOS est une cible facile dans ce cas de figure, car le système d’exploitation présente très peu de différences d’un appareil à l’autre. En outre, saturer les adresses IP disponibles sur un marché (le seul autre attribut distinct) n’est pas si difficile à faire.

Le Click spamming revêt de nombreuses formes, notamment les publicités empilées, les clics en arrière-plan sur les appareils ou les listes de clics émises directement de serveur à serveur. Les formes les plus simples incluent l’envoi de vues sous forme de clics, ou ce qu’on appelle le « pre–caching », où les annonces sont cliquées avant d’être affichées. En fin de compte, toutes partagent la même caractéristique : l’utilisateur n’avait pas l’intention d’interagir avec la publicité et n’a aucun intérêt à télécharger l’application montrée.

Le problème principal du filtrage de ces « attributions frauduleuses » réside dans la difficulté à reconnaître les clics eux-mêmes. Les fraudeurs peuvent contrôler n’importe lequel de leurs paramètres et ils peuvent facilement modifier leurs demandes pour qu’elles apparaissent comme d’authentiques engagements publicitaires.

Comme nous l’avons évoqué précédemment, un bon filtre devrait tirer parti d’un fait logique qui échappe au contrôle du fraudeur. Par chance, il existe une chose dans ce scénario que les fraudeurs ne contrôlent pas, ce à cause de la nature même de la faille qu’ils exploitent : le moment où l’utilisateur installe réellement l’application.

En comparant les clics frauduleux avec les clics réels, nous pouvons constater que les clics réels montrent une forte corrélation entre le moment où un utilisateur a été envoyé vers le store et le moment où il ouvre l’application pour la première fois. Dans 80 % des cas, l’utilisateur ouvre l’application moins d’une heure après l’avoir installée. Cette corrélation est inexistante dans le cas des clics frauduleux. Les utilisateurs qui ouvrent l’application semblent être répartis au hasard dans la fenêtre d’attribution.

Un filtre doit tenir compte de la répartition statistique pour la segmentation de campagne la plus basse possible, et voir si les clics sont corrélés avec les installations d’applications. Un problème important se produit avec les outils de détection de fraude qui affichent les clics injectés et les clics spammés dans le même graphique, car ils laissent l’utilisateur décider à quoi ressemble la fraude.

En supprimant les clics injectés de l’équation et en pénalisant le spam à haute fréquence, le filtrage peut alors être réalisé de manière fiable.

Le principal objectif est d’identifier chaque méthode individuellement, et non d’essayer de filtrer le type de manière générale. Une fois que nous comprenons qu’il y a une différence entre les clics injectés, les clics à basse fréquence et les clics à haute fréquence, le filtrage de chaque méthode devient beaucoup plus simple et ne s’appuie pas sur les éditeurs d’applications pour décider ce qu’il faut considérer comme authentique ou frauduleux.

Fermes d’appareils

Lorsqu’on examine l’autre type de fraude, les « utilisateurs frauduleux », on relève une variété de méthodes utilisées pour créer de fausses installations d’applications et d’événements de conversion.

Sur Android, simuler un téléphone dans le cloud est très simple, car cette fonction était prévue dès la conception de l’OS. D’autre part, iOS rendant la simulation d’appareils assez difficile, la création frauduleuse d’un grand nombre d’activités d’applications est généralement résolue à l’ancienne.

C’est là qu’interviennent les fermes d’appareils. Imaginez un endroit en Asie du Sud-Est, avec des douzaines d’employés assis devant plusieurs rangées d’iPhones… Pas la peine de vous faire un dessin.

Avec un CPI de 2 $, c’est une méthode assez bon marché qui permet d’effectuer un nombre incalculable d’installations.

Alors, comment distinguer les intentions de ces appareils réels utilisés par de vraies personnes des utilisateurs que vous voulez acquérir ?

De nombreux systèmes de prévention de la fraude seraient en mesure de signaler que ces utilisateurs ne sont tout simplement pas retenus et n’achètent jamais rien. Cependant, le problème qui nous concerne ici est que la plupart des vrais utilisateurs ne le font jamais non plus ; après tout, la rétention du jour 1 pour la plupart des verticales d’applications mobiles est rarement supérieure à 30 %. Tant que ces fermes d’appareils se mêlent au trafic réel, il est très difficile de dire de manière catégorique ce qui est réel et ce qui ne l’est pas.

En regardant de plus près la routine de ces fraudeurs, nous pouvons remarquer qu’ils sont obligés de réinitialiser leurs ID d’appareil en permanence pour que leurs nouvelles installations soient comptabilisées. Si nous pouvons trouver un moyen de maintenir certaines informations qu’ils ne peuvent pas facilement effacer, sans transmettre de PII, nous pouvons sérieusement compliquer la tâche de ces fraudeurs. Par exemple, sous iOS, le SDK d’Adjust nécessite une réinitialisation complète de l’appareil pour comptabiliser une autre installation à partir du même appareil, autrement dit un processus qui prend plus de 15 minutes. Les délais d’exécution sont ainsi considérablement prolongés.

Un autre marqueur que nous pouvons examiner est l’adresse IP utilisée pour envoyer des demandes de SDK. Sans aucun masquage ou VPN, elles semblent simplement provenir de pays facilement filtrés comme le Vietnam ou la Thaïlande. Le transfert du trafic via des proxies ou des VPN vers des marchés plus rentables comme les États-Unis laisse une trace sous forme d’adresses IP souvent enregistrées dans les centres de données. Ces adresses IP se trouvent souvent sur des listes disponibles dans le commerce qui peuvent être utilisées pour refuser l’attribution. Utiliser des adresses IP nationales n’est pas impossible, mais beaucoup plus lent et bien plus coûteux, ce qui rend cette méthode de fraude moins intéressante.

Les exemples mentionnés ci-dessus ne sont pas les seules méthodes frauduleuses que nous avons découvertes. Le « SDK Spoofing » (la dernière méthode de fraude publicitaire) a été traité de manière similaire, et nous restons toujours à l’affût pour savoir ce qui se profile, car de nouvelles méthodes frauduleuses peuvent toujours voir le jour.

Cet article est la dernière partie de notre série sur la fraude publicitaire mobile. Si vous n’avez pas encore consulté les autres parties, cliquez ici pour accéder à la partie 1, à la partie 2 et à la partie 3. Ces articles vous permettront d’en savoir plus sur la fraude publicitaire mobile.