### La tromperie pilotée par l'IA cible les utilisateurs mobiles La campagne **Pushpaganda**, identifiée par l'équipe Satori Threat Intelligence and Research de **HUMAN**, cible les flux de contenu personnalisés des utilisateurs Android et Chrome. Les chercheurs Louisa Abel, Vikas Parthasarathy, João Santos et Adam Sell ont rapporté que l'opération génère du trafic organique invalide à partir de vrais appareils mobiles en incitant les utilisateurs à s'abonner à des notifications présentant des messages alarmants. À son apogée, environ 240 millions de demandes d'enchères étaient associées à 113 domaines liés à la campagne sur une période de sept jours. Initialement axée sur l'Inde, la menace s'est étendue à des régions telles que les États-Unis, l'Australie, le Canada, l'Afrique du Sud et le Royaume-Uni. Gavin Reid, responsable de la sécurité de l'information chez **HUMAN**, a souligné comment les acteurs malveillants abusent de l'IA pour détourner des surfaces de découverte fiables et les transformer en vecteurs de diffusion de scarewares, de deepfakes et de fraudes financières. **Google** a depuis mis en œuvre une correction pour résoudre le problème de spam. ### Comment fonctionne l'arnaque Le système repose sur l'attrait des utilisateurs inconscients via **Google** Discover vers des articles d'actualité trompeurs remplis de contenu généré par l'IA. Une fois qu'un utilisateur arrive sur un domaine contrôlé par un acteur malveillant, il est contraint d'activer des notifications push qui délivrent de fausses menaces juridiques et des escroqueries. Cliquer sur les notifications de scareware redirige les utilisateurs vers d'autres sites exploités par les acteurs malveillants, générant du trafic organique vers les publicités intégrées dans ces sites et leur permettant de générer des revenus illicites.  ### L'abus des notifications push : une menace récurrente Ce n'est pas la première fois que des acteurs malveillants utilisent les notifications push comme armes. En septembre 2025, **Infoblox** a mis en lumière **Vane Viper**, un acteur malveillant se livrant à un abus systématique des notifications push pour diffuser des publicités et faciliter des campagnes d'ingénierie sociale de type ClickFix. Lindsay Kaye, vice-présidente de la threat intelligence chez **HUMAN Security**, a noté que les menaces basées sur des malwares impliquant des notifications push, tant pour les plateformes web que mobiles, ne sont pas nouvelles. Les utilisateurs cliquent souvent rapidement sur ces notifications, ce qui en fait un outil efficace dans l'arsenal d'un auteur de malware. ### La réponse de Google Un porte-parole de **Google** a déclaré que l'entreprise bloque la grande majorité des spams dans Discover grâce à des systèmes robustes de lutte contre le spam et des politiques contre les nouvelles formes de contenu de faible qualité et manipulateur. Avant d'avoir connaissance du rapport, ils ont lancé une correction pour le problème de spam, maintenant un niveau de qualité élevé pour le contenu sur Discover. **Google** a mis en œuvre des politiques anti-spam robustes et des systèmes de lutte contre le spam pour lutter contre les pratiques abusives qui affichent du contenu non original et de faible qualité dans Search et Discover. Des mises à jour algorithmiques régulières sont déployées pour signaler le contenu enfreignant les politiques qui cherche à manipuler les classements de recherche et d'actualités. Selon les directives de **Google**, toute utilisation de l'IA pour générer du contenu principalement dans le but de manipuler les classements de recherche va à l'encontre de ses politiques anti-spam. Cela inclut l'abus de contenu à grande échelle, tel que l'utilisation d'outils d'IA générative pour produire des pages qui n'apportent aucune valeur, le scraping de flux et la création de plusieurs sites pour masquer la nature à grande échelle du contenu. ### Marchés de blanchiment de fraude publicitaire Cette divulgation fait suite à l'identification récente par **HUMAN** de plus de 3 000 domaines et 63 applications Android constituant l'un des plus grands marchés de blanchiment de fraude publicitaire jamais découverts. Cette opération, baptisée Low5, monétise des domaines en tant que sites de « cashout » pour des schémas de fraude sophistiqués, y compris **BADBOX 2.0**. L'opération a atteint un pic d'environ 2 milliards de demandes d'enchères par jour et aurait pu fonctionner sur jusqu'à 40 millions d'appareils dans le monde. Les applications associées à Low5 contiennent du code qui demande aux appareils des utilisateurs de visiter des domaines connectés au schéma et de cliquer sur des publicités. Les sites de « cashout », également appelés sites fantômes, sont utilisés pour mener des fraudes basées sur le contenu, en utilisant de faux sites et applications pour vendre de l'espace aux annonceurs qui supposent que leurs publicités seront vues par des humains. Les applications Android en question ont été retirées du **Google Play Store**. **HUMAN** souligne qu'une couche de monétisation partagée couvrant des milliers de domaines permet à plusieurs acteurs malveillants de se connecter à la même infrastructure, créant ainsi un système de blanchiment distribué. Cela augmente la résilience des menaces, complique l'attribution et permet une réplication rapide. Même après qu'une campagne de fraude spécifique soit arrêtée, l'infrastructure de monétisation peut survivre. Si une application malveillante ou un réseau d'appareils est supprimé, les mêmes domaines de « cashout » peuvent être réutilisés par d'autres acteurs. Low5 renforce la nécessité d'une intelligence de menace continue et agressive et d'une expertise en détection pour traquer les domaines de « cashout » et les signaler avant les enchères.