Humanoid Attack: Nová forma podvodu s klikáním identifikovaná pomocí strojového učení

Výzkumná iniciativa z USA, Austrálie a Číny identifikovala nový druh podvodného kliknutí nazvaný „Humanoid Attack“, který překonává konvenční detekční rámce a využívá skutečné interakce uživatelů v mobilních aplikacích, aby generoval příjmy z falešných kliknutí na vložené reklamy rámců třetích stran.

Projekt papír, vedená Shanghai Jiao Tong University, tvrdí, že tato nová varianta podvodného kliknutí je již široce rozšířena, a identifikuje 157 infikovaných aplikací z 20,000 XNUMX nejlépe hodnocených aplikací na trhu aplikací Google Play a Huawei.

Jedna sociální a komunikační aplikace infikovaná HA diskutovaná ve studii má údajně 570 milionů stažení. Zpráva uvádí, že čtyři další aplikace „vyrobené stejnou společností vykazují podobné kódy podvodných kliknutí“.

K detekci aplikací, které obsahují Humanoid Attack (HA), výzkumníci vyvinuli nástroj s názvem ClickScanner, který generuje grafy závislosti dat na základě statické analýzy z inspekce aplikací pro Android na úrovni bytecode.

Klíčové vlastnosti HA jsou pak vloženy do vektoru funkcí, což umožňuje rychlou analýzu aplikací na datové sadě trénované na neinfikovaných aplikacích. Výzkumníci tvrdí, že ClickScanner pracuje za méně než 16 % času, který zabírají nejpopulárnější podobné skenovací rámce.

Metodika humanoidního útoku

Podpisy podvodného kliknutí jsou obvykle odhaleny prostřednictvím identifikovatelných vzorců opakování, nepravděpodobných kontextů a řady dalších faktorů, kde mechanizace předpokládané lidské interakce s reklamou neodpovídá autentickým a náhodnějším vzorcům používání, které se vyskytují u skutečných uživatelů.

Výzkum proto tvrdí, že HA kopíruje vzor kliknutí skutečných uživatelů z infikované mobilní aplikace pro Android, takže falešné interakce s reklamou odpovídají obecnému profilu uživatele, včetně aktivních časů používání a různých dalších charakteristických funkcí, které indikují nesimulované používání.

Vzorec načasování podvodného kliknutí na Humanoid Attack je dán interakcí uživatele. Zdroj: https://arxiv.org/pdf/2105.11103.pdf

Zdá se, že HA využívá čtyři přístupy k simulaci kliknutí: randomizaci souřadnic odeslaných událostí odesláníTouchEvent v systému Android; randomizace doby spouštění; stínování skutečných kliknutí uživatele; a profilování vzorů kliknutí uživatele v kódu před komunikací se vzdáleným serverem, který může následně odeslat vylepšené falešné akce pro provedení HA.

Různé přístupy

HA je implementována odlišně v jednotlivých aplikacích a také zcela odlišně v různých kategoriích aplikací, což dále zatemňuje všechny vzory, které by mohly být snadno zjistitelné heuristickými metodami, nebo zavedenými standardními produkty skenování, které očekávají známější typy vzorů.

Zpráva uvádí, že HA není rovnoměrně distribuována mezi typy aplikací, a nastiňuje obecnou distribuci napříč žánry aplikací v obchodech Google a Huawei (obrázek níže).

Humanoid Attack má své preferované cílové sektory a vyskytuje se pouze v osmi kategoriích z 25 zkoumaných ve zprávě. Výzkumníci naznačují, že rozdíly v distribuci mohou být způsobeny kulturními rozdíly v používání aplikací. Google Play má největší podíl v USA a Evropě, zatímco Huawei má větší vliv na Čínu. V důsledku toho se vzorec infekce Huawei zaměřuje na Knihy, Vzdělání a Nakupování kategorie, zatímco na Google Play Novinky, Časopisy a Tools kategorie jsou více postiženy.

Výzkumníci, kteří v současné době komunikují s prodejci postižených aplikací, aby pomohli problém vyřešit, a kteří obdrželi potvrzení od společnosti Google, tvrdí, že Humanoid Attack již způsobil inzerentům „obrovské ztráty“. V době psaní článku a před navázáním kontaktu s dodavateli zpráva uvádí, že ze 157 infikovaných aplikací v obchodech Google Play a Huawei bylo dosud odstraněno pouze 39.

Zpráva rovněž uvádí, že Tools kategorie je dobře zastoupena na obou trzích a je atraktivní díky neobvyklým úrovním oprávnění, která jsou uživatelé ochotni těmto typům aplikací udělit.

Nativní vs. Nasazení SDK

Mezi aplikacemi označenými jako podléhající Humanoid Attack většina nepoužívá přímé vkládání kódu, ale místo toho se spoléhá na reklamní sady SDK třetích stran, které jsou z programovacího hlediska „drop-in“ monetizačními rámci.

67 % infikovaných aplikací Huawei a 95.2 % infikovaných aplikací Google Play využívá přístup SDK, u kterého je méně pravděpodobné, že bude odhalen statickou analýzou nebo jinými metodami, které se soustředí spíše na místní kód aplikace než na širší behaviorální otisk aplikace. interakce aplikace se vzdálenými zdroji.

Výzkumníci porovnali účinnost ClickScanneru, který používá klasifikátor založený na variačních automatických kodérech (VAE), s detekční platformou VirusTotal, která integruje mnoho dalších platforem, včetně Kaspersky a McAfee. Data byla nahrána do VirusTotal dvakrát, s šestiměsíčním intervalem, aby byly vyloučeny možné anomální nebo chybné výsledky z VirusTotal.

58 a 57 aplikací v Google Play a Huawei AppGallery, v tomto pořadí, obešlo detekční schopnosti VirusTotal, podle výzkumu, který také zjistil, že pouze pět infikovaných aplikací mohlo být detekováno více než 7 detekčními moduly.

Sady SDK pro škodlivé reklamy

Zpráva pozoruje přítomnost nezveřejněného škodlivého reklamního SDK ve 43 zkoumaných aplikacích, která má „větší dopad“ než ostatní hlášené, protože je navržena tak, aby klikla na reklamu podruhé, pokud na ni uživatel klikne jednou, což uživatele přinutí podílet se na podvodné činnosti.

Zpráva uvádí, že tato škodlivá sada SDK od svého zpřístupnění prostřednictvím Google Play dosáhla 270 milionů instalací a že kód GitHub pro ni byl v listopadu 2020 smazán. Výzkumníci se domnívají, že to mohlo být v reakci na nárůst počtu vlastní opatření proti podvodům.

Další sada SDK, která dosáhla instalační základny 476 milionů, „pomáhá“ uživatelům automaticky přehrávat videa, ale poté automaticky klikne na všechny reklamy, které se zobrazí, když je video pozastaveno.