Serangan Humanoid: Bentuk Baru Penipuan Klik yang Diidentifikasi Melalui Pembelajaran Mesin

Sebuah inisiatif penelitian dari AS, Australia, dan China telah mengidentifikasi jenis baru penipuan klik, yang dijuluki 'Serangan Humanoid' yang berhasil lolos dari kerangka deteksi konvensional, dan mengeksploitasi interaksi pengguna di dunia nyata dalam aplikasi seluler untuk menghasilkan pendapatan dari klik palsu pada iklan kerangka kerja pihak ketiga yang tertanam.

The kertas, yang dipimpin oleh Universitas Shanghai Jiao Tong, berpendapat bahwa variasi baru penipuan klik ini sudah tersebar luas, dan mengidentifikasi 157 aplikasi yang terinfeksi dari 20,000 aplikasi berperingkat teratas di pasar aplikasi Google Play dan Huawei.

Satu aplikasi sosial dan komunikasi yang terinfeksi HA yang dibahas dalam penelitian ini dilaporkan memiliki 570 juta unduhan. Laporan tersebut mencatat bahwa empat aplikasi lainnya 'diproduksi oleh perusahaan yang sama terbukti memiliki kode penipuan klik yang serupa'.

Untuk mendeteksi aplikasi yang menampilkan Humanoid Attack (HA), para peneliti mengembangkan alat bernama ClickScanner, yang menghasilkan grafik ketergantungan data, berdasarkan analisis statis, dari pemeriksaan tingkat bytecode aplikasi Android.

Fitur utama HA kemudian dimasukkan ke dalam vektor fitur, yang memungkinkan analisis aplikasi cepat pada kumpulan data yang dilatih pada aplikasi yang tidak terinfeksi. Para peneliti mengklaim bahwa ClickScanner beroperasi kurang dari 16% dari waktu yang diambil oleh kerangka kerja pemindaian serupa yang paling populer.

Metodologi Serangan Humanoid

Tanda tangan penipuan klik biasanya terungkap melalui pola pengulangan yang dapat diidentifikasi, konteks yang tidak mungkin, dan sejumlah faktor lain di mana mekanisasi interaksi manusia yang diantisipasi dengan iklan gagal untuk mencocokkan pola penggunaan yang otentik dan lebih acak yang terjadi di seluruh pengguna nyata.

Oleh karena itu, penelitian tersebut mengklaim, HA menyalin pola klik pengguna di dunia nyata dari aplikasi Android seluler yang terinfeksi, sehingga interaksi iklan palsu cocok dengan profil umum pengguna, termasuk waktu penggunaan aktif, dan berbagai fitur tanda tangan lainnya yang menunjukkan penggunaan yang tidak disimulasikan.

Pola waktu penipuan klik Humanoid Attack ditentukan oleh interaksi pengguna. Sumber: https://arxiv.org/pdf/2105.11103.pdf

HA tampaknya memanfaatkan empat pendekatan untuk mensimulasikan klik: mengacak koordinat peristiwa yang dikirim ke pengirimanTouchEvent di Android; mengacak waktu pemicu; membayangi klik sebenarnya yang dilakukan pengguna; dan membuat profil pola klik pengguna dalam kode, sebelum berkomunikasi dengan server jarak jauh, yang selanjutnya dapat mengirimkan tindakan palsu yang disempurnakan untuk dilakukan HA.

Pendekatan yang Bervariasi

HA diimplementasikan secara berbeda di seluruh aplikasi individual, dan juga sangat berbeda di seluruh kategori aplikasi, lebih lanjut mengaburkan pola apa pun yang mungkin mudah dideteksi dengan metode heuristik, atau produk pemindaian standar industri yang mapan yang mengharapkan jenis pola yang lebih dikenal.

Laporan mengamati bahwa HA tidak terdistribusi secara merata di antara jenis aplikasi, dan menguraikan distribusi umum di seluruh genre aplikasi di toko Google dan Huawei (gambar di bawah).

Humanoid Attack memiliki sektor target pilihannya, dan fitur hanya dalam delapan kategori dari 25 yang dipelajari dalam laporan tersebut. Para peneliti berpendapat bahwa variasi distribusi mungkin disebabkan oleh perbedaan budaya dalam penggunaan aplikasi. Google Play memiliki andil terbesar di AS dan Eropa, sementara Huawei memiliki andil lebih besar di China. Akibatnya pola infeksi Huawei menargetkan Buku-buku, Pendidikan dan tas kategori, sedangkan di Google Play Berita , Majalah dan Tools kategori lebih terpengaruh.

Para peneliti, yang saat ini sedang berkomunikasi dengan vendor aplikasi yang terdampak untuk membantu memperbaiki masalah tersebut, dan yang telah menerima pengakuan dari Google, berpendapat bahwa Serangan Humanoid telah menyebabkan "kerugian besar" bagi pengiklan. Pada saat makalah ini ditulis, dan sebelum menghubungi vendor, laporan tersebut menyatakan bahwa dari 157 aplikasi yang terinfeksi di Google Play dan Huawei Store, hanya 39 yang telah dihapus.

Laporan tersebut juga mengamati bahwa Tools kategori terwakili dengan baik di kedua pasar, dan merupakan daya tarik yang menarik karena tingkat izin yang tidak biasa yang bersedia diberikan pengguna untuk jenis aplikasi ini.

Asli Vs. Penerapan SDK

Di antara aplikasi yang diidentifikasi sebagai sasaran Serangan Humanoid, mayoritas tidak menggunakan injeksi kode langsung, tetapi malah mengandalkan SDK iklan pihak ketiga, yang, dari sudut pandang pemrograman, merupakan kerangka kerja monetisasi 'drop in'.

67% aplikasi Huawei yang terinfeksi dan 95.2% aplikasi Google Play yang terinfeksi memanfaatkan pendekatan SDK yang kecil kemungkinannya ditemukan oleh analisis statis, atau oleh metode lain yang berkonsentrasi pada kode lokal aplikasi ketimbang sidik jari perilaku yang lebih luas dari interaksi aplikasi dengan sumber daya jarak jauh.

Para peneliti membandingkan efektivitas ClickScanner, yang menggunakan pengklasifikasi berdasarkan Variational Autoencoders (VAEs), dengan VirusTotal, platform deteksi yang mengintegrasikan banyak platform lain, termasuk Kaspersky dan McAfee. Data diunggah ke VirusTotal dua kali, dengan interval enam bulan untuk mendiskon kemungkinan anomali hasil yang salah dari VirusTotal.

58 dan 57 aplikasi di Google Play dan Huawei AppGallery, masing-masing, berhasil melewati kemampuan deteksi VirusTotal, menurut penelitian tersebut, yang juga menemukan bahwa hanya lima aplikasi terinfeksi yang dapat dideteksi oleh lebih dari 7 mesin deteksi.

SDK Iklan Berbahaya

Laporan tersebut mengamati keberadaan SDK periklanan berbahaya yang tidak diungkapkan dalam 43 aplikasi yang diteliti, yang memiliki 'dampak lebih besar' daripada yang dilaporkan lainnya, karena dirancang untuk mengklik iklan untuk kedua kalinya jika pengguna mengkliknya sekali, yang memaksa pengguna untuk berpartisipasi dalam aktivitas penipuan.

Laporan tersebut mencatat bahwa SDK berbahaya ini telah mencapai 270 juta instalasi sejak tersedia melalui Google Play, dan kode GitHub-nya telah dihapus pada November 2020. Para peneliti menduga bahwa hal ini mungkin merupakan respons terhadap peningkatan langkah-langkah anti-penipuan Google sendiri.

SDK lain, yang telah mencapai basis instalasi sebanyak 476 juta, 'membantu' pengguna untuk memutar video secara otomatis, tetapi kemudian secara otomatis mengklik iklan apa pun yang muncul saat video dijeda.