Serangan Humanoid: Bentuk Baru Penipuan Klik yang Diidentifikasi Melalui Pembelajaran Mesin

Inisiatif penelitian dari AS, Australia, dan China telah mengidentifikasi jenis penipuan klik baru, yang dijuluki 'Serangan Humanoid' yang lolos dari kerangka kerja deteksi konvensional, dan mengeksploitasi interaksi pengguna kehidupan nyata di aplikasi seluler untuk menghasilkan pendapatan dari klik palsu pada iklan kerangka kerja pihak ketiga tersemat.

Grafik kertas, yang dipimpin oleh Universitas Shanghai Jiao Tong, berpendapat bahwa variasi baru penipuan klik ini sudah tersebar luas, dan mengidentifikasi 157 aplikasi yang terinfeksi dari 20,000 aplikasi berperingkat teratas di pasar aplikasi Google Play dan Huawei.

Satu aplikasi sosial dan komunikasi yang terinfeksi HA yang dibahas dalam penelitian ini dilaporkan memiliki 570 juta unduhan. Laporan tersebut mencatat bahwa empat aplikasi lainnya 'diproduksi oleh perusahaan yang sama dinyatakan memiliki kode penipuan klik serupa'.

Untuk mendeteksi aplikasi yang menampilkan Humanoid Attack (HA), para peneliti mengembangkan alat bernama ClickScanner, yang menghasilkan grafik ketergantungan data, berdasarkan analisis statis, dari pemeriksaan tingkat bytecode aplikasi Android.

Fitur utama HA kemudian dimasukkan ke dalam vektor fitur, yang memungkinkan analisis aplikasi cepat pada kumpulan data yang dilatih pada aplikasi yang tidak terinfeksi. Para peneliti mengklaim bahwa ClickScanner beroperasi kurang dari 16% dari waktu yang diambil oleh kerangka kerja pemindaian serupa yang paling populer.

Metodologi Serangan Humanoid

Tanda tangan penipuan klik biasanya terungkap melalui pola pengulangan yang dapat diidentifikasi, konteks yang tidak mungkin, dan sejumlah faktor lain di mana mekanisasi interaksi manusia yang diantisipasi dengan iklan gagal untuk mencocokkan pola penggunaan yang otentik dan lebih acak yang terjadi di seluruh pengguna nyata.

Oleh karena itu, klaim penelitian, HA menyalin pola klik pengguna dunia nyata dari aplikasi seluler Android yang terinfeksi, sehingga interaksi iklan palsu cocok dengan profil umum pengguna, termasuk waktu aktif penggunaan, dan berbagai fitur tanda tangan lainnya yang menunjukkan non-simulasi. penggunaan.

Pola waktu penipuan klik Humanoid Attack ditentukan oleh interaksi pengguna. Sumber: https://arxiv.org/pdf/2105.11103.pdf

HA tampaknya memanfaatkan empat pendekatan untuk mensimulasikan klik: mengacak koordinat peristiwa yang dikirim ke pengirimanTouchEvent di Android; mengacak waktu pemicuan; membayangi klik nyata pengguna; dan membuat profil pola klik pengguna dalam kode, sebelum berkomunikasi dengan server jarak jauh, yang selanjutnya dapat mengirimkan tindakan palsu yang ditingkatkan untuk dilakukan HA.

Pendekatan yang Bervariasi

HA diimplementasikan secara berbeda di seluruh aplikasi individual, dan juga sangat berbeda di seluruh kategori aplikasi, lebih lanjut mengaburkan pola apa pun yang mungkin mudah dideteksi dengan metode heuristik, atau produk pemindaian standar industri yang mapan yang mengharapkan jenis pola yang lebih dikenal.

Laporan mengamati bahwa HA tidak terdistribusi secara merata di antara jenis aplikasi, dan menguraikan distribusi umum di seluruh genre aplikasi di toko Google dan Huawei (gambar di bawah).

Humanoid Attack memiliki sektor target pilihannya, dan fitur hanya dalam delapan kategori dari 25 yang dipelajari dalam laporan tersebut. Para peneliti berpendapat bahwa variasi distribusi mungkin disebabkan oleh perbedaan budaya dalam penggunaan aplikasi. Google Play memiliki andil terbesar di AS dan Eropa, sementara Huawei memiliki andil lebih besar di China. Akibatnya pola infeksi Huawei menargetkan Buku-buku, Pendidikan dan tas kategori, sedangkan di Google Play Berita, Majalah dan Tools kategori lebih terpengaruh.

Para peneliti, yang saat ini sedang berkomunikasi dengan vendor aplikasi yang terpengaruh untuk membantu mengatasi masalah tersebut, dan yang telah menerima pengakuan dari Google, berpendapat bahwa Humanoid Attack telah menyebabkan 'kerugian besar' bagi pengiklan. Pada saat penulisan makalah, dan sebelum berhubungan dengan vendor, laporan tersebut menyatakan bahwa dari 157 aplikasi yang terinfeksi di Google Play dan toko Huawei, hanya 39 yang belum dihapus.

Laporan tersebut juga mengamati bahwa Tools kategori terwakili dengan baik di kedua pasar, dan merupakan daya tarik yang menarik karena tingkat izin yang tidak biasa yang bersedia diberikan pengguna untuk jenis aplikasi ini.

Asli Vs. Penerapan SDK

Di antara aplikasi yang teridentifikasi terkena Humanoid Attack, sebagian besar tidak menggunakan injeksi kode langsung, melainkan mengandalkan SDK iklan pihak ketiga, yang, dari sudut pandang pemrograman, adalah kerangka kerja monetisasi 'masuk'.

67% aplikasi Huawei yang terinfeksi dan 95.2% aplikasi Google Play yang terinfeksi memanfaatkan pendekatan SDK yang kecil kemungkinannya untuk ditemukan melalui analisis statis, atau dengan metode lain yang berkonsentrasi pada kode lokal aplikasi daripada sidik jari perilaku yang lebih luas dari aplikasi tersebut. interaksi aplikasi dengan sumber daya jarak jauh.

Para peneliti membandingkan efektivitas ClickScanner, yang menggunakan pengklasifikasi berdasarkan Variational Autoencoders (VAEs), dengan VirusTotal, platform deteksi yang mengintegrasikan banyak platform lain, termasuk Kaspersky dan McAfee. Data diunggah ke VirusTotal dua kali, dengan interval enam bulan untuk mendiskon kemungkinan anomali hasil yang salah dari VirusTotal.

58 dan 57 aplikasi di Google Play dan Huawei AppGallery, masing-masing, melewati kemampuan deteksi VirusTotal, menurut penelitian, yang juga menemukan bahwa hanya lima aplikasi yang terinfeksi yang dapat dideteksi oleh lebih dari 7 mesin pendeteksi.

SDK Iklan Berbahaya

Laporan mengamati adanya SDK iklan berbahaya yang dirahasiakan di 43 aplikasi yang dipelajari, yang memiliki 'dampak lebih besar' daripada yang dilaporkan lainnya, karena dirancang untuk mengeklik iklan untuk kedua kalinya jika pengguna mengekliknya sekali, memaksa pengguna untuk berpartisipasi dalam aktivitas penipuan.

Laporan tersebut mencatat bahwa SDK berbahaya ini mencapai 270 juta penginstalan sejak tersedia melalui Google Play, dan bahwa kode GitHub untuk itu telah dihapus pada November 2020. Para peneliti menduga bahwa ini mungkin sebagai tanggapan atas peningkatan Google langkah-langkah anti-penipuan sendiri.

SDK lain, yang telah mencapai basis penginstalan 476 juta, 'membantu' pengguna untuk memutar video secara otomatis, tetapi kemudian secara otomatis mengklik iklan apa pun yang muncul saat video dijeda.