Contáctenos

Ataque humanoide: nueva forma de fraude de clics identificada a través del aprendizaje automático

Ciberseguridad

Ataque humanoide: nueva forma de fraude de clics identificada a través del aprendizaje automático

mm
Publicado

Una iniciativa de investigación de EE. UU., Australia y China ha identificado una nueva cepa de fraude de clics, denominada "ataque humanoide", que elude los marcos de detección convencionales y explota las interacciones de los usuarios reales en aplicaciones móviles para generar ingresos a partir de clics falsos en anuncios integrados en marcos de terceros.

El , dirigido por la Universidad Jiao Tong de Shanghái, sostiene que esta nueva variación del fraude de clics ya está ampliamente difundida e identifica 157 aplicaciones infectadas de las 20,000 XNUMX aplicaciones mejor calificadas en los mercados de aplicaciones de Google Play y Huawei.

Se informa que una aplicación social y de comunicación infectada con HA que se analiza en el estudio tiene 570 millones de descargas. El informe señala que otras cuatro aplicaciones 'producidos por la misma empresa se manifiestan por tener códigos de fraude de clic similares'.

Para detectar aplicaciones que cuentan con Humanoid Attack (HA), los investigadores desarrollaron una herramienta llamada ClickScanner, que genera gráficos de dependencia de datos, basados ​​en análisis estáticos, a partir de la inspección a nivel de bytecode de las aplicaciones de Android.

Luego, las características clave de HA se introducen en un vector de características, lo que permite un análisis rápido de aplicaciones en un conjunto de datos entrenado en aplicaciones no infectadas. Los investigadores afirman que ClickScanner funciona en menos del 16% del tiempo que tardan los marcos de escaneo similares más populares.

Metodología de ataque humanoide

Las firmas de fraude de clics generalmente se revelan a través de patrones identificables de repetición, contextos poco probables y una serie de otros factores en los que la mecanización de la interacción humana anticipada con la publicidad no logra coincidir con los patrones de uso auténticos y más aleatorios que ocurren entre los usuarios reales.

Por lo tanto, afirma la investigación, HA copia el patrón de clics de usuarios reales desde una aplicación móvil Android infectada, de modo que las interacciones con anuncios falsos coinciden con el perfil general del usuario, incluidos los tiempos de uso activo y varias otras características distintivas que indican un uso no simulado.

El patrón de tiempo del fraude de clics de Humanoid Attack está dictado por la interacción del usuario. Fuente: https://arxiv.org/pdf/2105.11103.pdf

El patrón de tiempo del fraude de clics de Humanoid Attack está dictado por la interacción del usuario. Fuente: https://arxiv.org/pdf/2105.11103.pdf

HA parece utilizar cuatro enfoques para simular clics: aleatorizar las coordenadas de los eventos enviados a DispatchTouchEvent en Android; aleatorizando el tiempo de activación; siguiendo los clics reales del usuario; y creando perfiles de los patrones de clics del usuario en el código, antes de comunicarse con un servidor remoto, que posteriormente puede enviar acciones falsas mejoradas para que HA las realice.

Enfoques Variados

HA se implementa de manera diferente en las aplicaciones individuales, y también de manera bastante diferente en las categorías de aplicaciones, ofuscando aún más cualquier patrón que pueda detectarse fácilmente mediante métodos heurísticos o productos de escaneo establecidos y estándar de la industria que esperan tipos de patrones más conocidos.

El informe observa que HA no se distribuye uniformemente entre los tipos de aplicaciones y describe la distribución general entre los géneros de aplicaciones en las tiendas de Google y Huawei (imagen a continuación).

Humanoid Attack tiene sus sectores objetivo preferidos y aparece en solo ocho categorías de las 25 estudiadas en el informe. Los investigadores sugieren que las variaciones en la distribución pueden deberse a diferencias culturales en el uso de las aplicaciones. Google Play tiene la mayor participación en los EE. UU. y Europa, mientras que Huawei tiene una mayor participación en China. En consecuencia, el patrón de infección de Huawei apunta a la Libros, Educación y Shopping categorías, mientras que en Google Play la Noticias, Revistas y Herramientas Las categorías se ven más afectadas.

Los investigadores, que se encuentran en contacto con los proveedores de las aplicaciones afectadas para solucionar el problema y han recibido confirmación de Google, afirman que Humanoid Attack ya ha causado enormes pérdidas a los anunciantes. Al momento de redactar el informe, y antes de contactar con los proveedores, este indica que, de 157 aplicaciones infectadas en las tiendas de Google Play y Huawei, solo 39 se habían eliminado.

El informe también observa que la Herramientas La categoría está bien representada en ambos mercados y es una captación atractiva debido a los niveles inusuales de permisos que los usuarios están dispuestos a otorgar a este tipo de aplicaciones.

Nativo vs. Implementación de SDK

Entre las aplicaciones identificadas como sujetas a ataques humanos, la mayoría no utiliza inyección de código directa, sino que dependen de SDK de anuncios de terceros, que, desde un punto de vista de programación, son marcos de monetización "directos".

El 67% de las aplicaciones de Huawei infectadas y el 95.2% de las aplicaciones de Google Play infectadas utilizan un enfoque SDK que tiene menos probabilidades de ser descubierto por medio de un análisis estático o por otros métodos que se concentran en el código local de la aplicación en lugar de la huella digital de comportamiento más amplia de las interacciones de la aplicación con recursos remotos.

Los investigadores compararon la eficacia de ClickScanner, que utiliza un clasificador basado en codificadores automáticos variacionales (VAE), con VirusTotal, una plataforma de detección que integra muchas otras plataformas, incluidas Kaspersky y McAfee. Los datos se subieron a VirusTotal dos veces, con un intervalo de seis meses para descartar posibles resultados anómalos o erróneos de VirusTotal.

Según la investigación, 58 y 57 aplicaciones en Google Play y Huawei AppGallery, respectivamente, eludieron las capacidades de detección de VirusTotal, y también se encontró que solo cinco aplicaciones infectadas pudieron ser detectadas por más de 7 motores de detección.

SDK de anuncios maliciosos

El informe observa la presencia de un SDK de publicidad maliciosa no revelado en 43 aplicaciones estudiadas, que tiene "un impacto mayor" que otros reportados, ya que está diseñado para hacer clic en un anuncio una segunda vez si el usuario hace clic en él una vez, lo que obliga al usuario a participar en una actividad fraudulenta.

El informe señala que este SDK malicioso logró 270 millones de instalaciones desde que se puso a disposición a través de Google Play, y que su código de GitHub se eliminó en noviembre de 2020. Los investigadores suponen que esto puede haber sido en respuesta a un aumento de las medidas antifraude de Google.

Otro SDK, que ha alcanzado una base de instalación de 476 millones, "ayuda" a los usuarios a reproducir videos automáticamente, pero luego hace clic automáticamente en cualquier anuncio que aparezca cuando el video está en pausa.

 

Temas relacionados:
mm

Escritor sobre aprendizaje automático, especialista en síntesis de imágenes humanas. Exdirector de contenido de investigación en Metaphysic.ai.
sitio personal: martinanderson.ai
Contacto: [email protected]
Gorjeo: @manders_ai