الهجوم الإنساني الشكل: تم تحديد شكل جديد من الاحتيال النقدي من خلال التعلم الآلي

مبادرة بحثية من الولايات المتحدة وأستراليا والصين حددت سلالة جديدة من الاحتيال النقدي، أطلق عليها اسم “الهجوم الإنساني الشكل” الذي يمر عبر الإطارات التقليدية للكشف، ويتلاعب بالتفاعلات الحقيقية للمستخدم في التطبيقات المحمولة من أجل توليد الإيرادات من النقرات الوهمية على الإعلانات الإطارية الثالثة.

الورقة الورقة، بقيادة جامعة شانغهاي جيا تونغ، تدعي أن هذا الشكل الجديد من الاحتيال النقدي已经 انتشر على نطاق واسع، وحددت 157 تطبيقًا مصابًا من بين أفضل 20,000 تطبيق في سوق جوجل بلاي وسوق هواوي.

تطبيق اجتماعي وتراسل مصاب بالهجوم الإنساني الشكل تمت مناقشته في الدراسة، وتم الإبلاغ عنه بأنه تم تحميله 570 مليون مرة. وتشير التقارير إلى أن أربعة تطبيقات أخرى “منتجة من قبل نفس الشركة تظهر لها أكواد احتيال نقدي مماثلة”.

للكشف عن التطبيقات التي تحتوي على الهجوم الإنساني الشكل (HA)، قام الباحثون بتطوير أداة تسمى ClickScanner، والتي تنتج رسومات зависимости البيانات، بناءً على التحليل الساكن، من فحص التطبيقات المحمولة على مستوى البرمجيات.

تم إدخال الميزات الرئيسية للهجوم الإنساني الشكل في متجه ميزة، مما يسمح بتحليل التطبيقات بسرعة على مجموعة بيانات تم تدريبها على تطبيقات غير مصابة. ويدعي الباحثون أن ClickScanner يعمل بأقل من 16٪ من الوقت الذي تستغرقه الإطارات الماسحة الشائعة.

منهجية الهجوم الإنساني الشكل

تتم الكشف عن توقيعات الاحتيال النقدي عادةً من خلال أنماط التكرار القابلة للتعرف، والسياقات غير المحتملة، وعوامل أخرى حيث تفشل آليات التفاعل الإعلاني المتوقع مع المستخدمين في مطابقة الأنماط الاستخدامية الحقيقية والأكثر عشوائية التي تحدث عبر المستخدمين الحقيقيين.

لذلك، تدعي الدراسة أن الهجوم الإنساني الشكل يقلد نمط النقرات الحقيقية للمستخدم من تطبيق محمول مصاب، بحيث تتطابق تفاعلات الإعلان الوهمية مع ملف المستخدم العام، بما في ذلك أوقات الاستخدام النشطة، وميزات توقيعية أخرى تشير إلى عدم محاكاة الاستخدام.

نمط زمني لاحتيال النقرات الإنساني الشكل يحدده التفاعل المستخدم. مصدر: https://arxiv.org/pdf/2105.11103.pdf

يبدو أن الهجوم الإنساني الشكل يستخدم أربعة طرق لتحقيق النقرات: تعميق إحداثيات الأحداث المرسلة إلى dispatchTouchEvent في نظام أندرويد؛ تعميق وقت التنشيط؛ الظل على النقرات الحقيقية للمستخدم؛ وتحليل أنماط النقرات للمستخدم في الكود، قبل الاتصال بخادم بعيد، الذي قد يرسل بعد ذلك إجراءات وهمية محسنة لتنفيذها.

مناهج متنوعة

يتم تنفيذ الهجوم الإنساني الشكل بشكل مختلف عبر التطبيقات الفردية، وأيضًا بشكل مختلف عبر فئات التطبيقات، مما يزيد من تعقيد الأنماط التي قد تكون قابلة للكشف بسهولة بواسطة الأساليب العرفانية، أو المنتجات الماسحة المعيارية للصناعة التي تتوقع أنماطًا أكثر شهرة.

تلاحظ التقارير أن الهجوم الإنساني الشكل ليس موزعًا بالتساوي بين أنواع التطبيقات، وتحدد التوزيع العام عبر أصناف التطبيقات في متاجر جوجل وهواوي (الصورة أدناه).

لهجوم الإنساني الشكل قطاعات مستهدفة مفضلة، ويتوفر فقط في ثماني فئات من بين 25 فئة تمت دراستها في التقرير. ويشير الباحثون إلى أن الاختلافات في التوزيع قد تكون ناجمة عن الاختلافات الثقافية في استخدام التطبيقات. تتمتع جوجل بلاي بأكبر حصة في الولايات المتحدة وأوروبا، بينما تتمتع هواوي بثقل أكبر في الصين. وبالتالي، يستهدف نمط العدوى هواوي فئات الكتب و التعليم و التسوق، بينما في جوجل بلاي، تكون الفئات الأخبار و المجلات و الأدوات أكثر تأثرًا.

يصر الباحثون، الذين يتواصلون حاليًا مع بائعي التطبيقات المتأثرة لمساعدتهم في معالجة القضية، والتي تلقت اعترافًا من جوجل، بأن الهجوم الإنساني الشكل قد تسبب بالفعل في “خسائر هائلة” للمعلنين. في وقت كتابة الورقة، وقبل الاتصال ببائعي التطبيقات، تشير التقارير إلى أن 157 تطبيقًا مصابًا عبر متاجر جوجل بلاي وهواوي، تم إزالة 39 فقط منها.

تلاحظ التقارير أيضًا أن فئة الأدوات تمثل جيدًا في كلا السوقين، وهي فئة جذابة بسبب مستويات الصلاحيات غير العادية التي يمنحها المستخدمون لتطبيقات هذا النوع.

التنفيذ الأصلي مقابل SDK

من بين التطبيقات التي تم تحديدها على أنها خاضعة للهجوم الإنساني الشكل، لا تستخدم الغالبية العظمى الحقن المباشر للكود، بل تعتمد على إطارات إعلانية SDK من الطرف الثالث، والتي، من وجهة نظر البرمجة، هي إطارات تخصيص ربحية “تُسقط”.

67٪ من التطبيقات المصابة على هواوي و 95.2٪ من التطبيقات المصابة على جوجل بلاي تعتمد على نهج SDK أقل احتمالاً للكشف بواسطة التحليل الساكن، أو بواسطة أساليب أخرى تركز على كود التطبيق المحلي بدلاً من البصمة السلوكية الأكبر لتفاعلات التطبيق مع الموارد البعيدة.

قارن الباحثون فعالية ClickScanner، التي تستخدم مصنفًا قائمًا على الترميزات الذاتية المتغيرة (VAEs)، مع VirusTotal، وهي منصة كشف تدمج العديد من المنصات الأخرى، بما في ذلك Kaspersky و McAfee. تم تحميل البيانات إلى VirusTotal مرتين، مع فاصل زمني ستة أشهر لاستبعاد أي نتائج شاذة أو خاطئة محتملة من VirusTotal.

58 و 57 تطبيقًا على جوجل بلاي ومتجر تطبيقات هواوي، على التوالي، تجاوزت قدرات الكشف في VirusTotal، وفقًا للبحث، الذي وجد أيضًا أن خمسة تطبيقات مصابة فقط يمكن الكشف عنها بواسطة أكثر من 7 محركات كشف.

SDKs الإعلانية الخبيثة

تلاحظ التقارير وجود SDK إعلاني خبيث غير معلن في 43 تطبيقًا تمت دراستها، والتي لها “تأثير أكبر” من غيرها المبلغ عنها، لأنها مصممة للنقر على الإعلان مرة ثانية إذا نقر المستخدم عليه مرة واحدة، مما يجبر المستخدم على المشاركة في النشاط الاحتيالي.

تلاحظ التقارير أن هذا SDK الخبيث حقق 270 مليون تثبيت منذ إطلاقه عبر جوجل بلاي، وأن كود GitHub الخاص به تم حذفه في نوفمبر 2020. ويفترض الباحثون أن هذا قد يكون استجابةً لزيادة إجراءات جوجل لمكافحة الاحتيال.

SDK آخر، الذي وصل إلى قاعدة تثبيتات تبلغ 476 مليون، “يساعد” المستخدمين في تشغيل الفيديوهات تلقائيًا، ثم ينقر تلقائيًا على أي إعلانات تظهر عند إيقاف الفيديو.