Attacco umanoide: nuova forma di frode sui clic identificata tramite l'apprendimento automatico

Un'iniziativa di ricerca condotta da Stati Uniti, Australia e Cina ha individuato un nuovo tipo di frode sui clic, denominato "Humanoid Attack", che elude i sistemi di rilevamento convenzionali e sfrutta le interazioni reali degli utenti nelle app mobili per generare entrate da clic falsi su annunci pubblicitari incorporati in framework di terze parti.

. carta, guidato dalla Shanghai Jiao Tong University, sostiene che questa nuova variante della frode sui clic è già ampiamente diffusa e identifica 157 app infette tra le 20,000 app più votate nei mercati delle app Google Play e Huawei.

Si dice che un'app di social e comunicazione infetta da HA discussa nello studio abbia 570 milioni di download. Il rapporto rileva che altre quattro app "prodotti dalla stessa azienda presentano codici di frode sui clic simili".

Per rilevare le app che presentano Humanoid Attack (HA), i ricercatori hanno sviluppato uno strumento chiamato ClickScanner, che genera grafici di dipendenza dei dati, basati sull'analisi statica, dall'ispezione a livello di bytecode delle app Android.

Le funzionalità chiave di HA vengono quindi inserite in un vettore di funzionalità, consentendo un'analisi rapida delle app su un set di dati addestrato su app non infette. I ricercatori affermano che ClickScanner opera in meno del 16% del tempo impiegato dai framework di scansione simili più popolari.

Metodologia di attacco umanoide

Le firme dei clic fraudolenti vengono in genere rivelate attraverso modelli identificabili di ripetizione, contesti improbabili e una serie di altri fattori in cui la meccanizzazione dell'interazione umana anticipata con la pubblicità non riesce a corrispondere ai modelli di utilizzo autentici e più casuali che si verificano tra gli utenti reali.

Pertanto, sostiene la ricerca, HA copia il modello dei clic degli utenti reali da un'app Android mobile infetta, in modo che le interazioni con gli annunci falsi corrispondano al profilo generale dell'utente, compresi i tempi di utilizzo attivi e varie altre caratteristiche distintive che indicano un utilizzo non simulato.

Il modello temporale della frode sui clic di Humanoid Attack è dettato dall'interazione dell'utente. Fonte: https://arxiv.org/pdf/2105.11103.pdf

HA sembra utilizzare quattro approcci per simulare i clic: randomizzare le coordinate degli eventi inviati a spedizioneTouchEvent in Android; randomizzazione del tempo di attivazione; tracciamento dei clic reali dell'utente; e profilazione dei modelli di clic dell'utente nel codice, prima di comunicare con un server remoto, che può successivamente inviare azioni false migliorate da eseguire per HA.

Approcci vari

HA è implementato in modo diverso tra le singole app e anche in modo abbastanza diverso tra le categorie di app, offuscando ulteriormente qualsiasi pattern che potrebbe essere facilmente rilevabile con metodi euristici o prodotti di scansione standard del settore consolidati che si aspettano tipi di pattern più noti.

Il rapporto osserva che HA non è distribuito uniformemente tra i tipi di app e delinea la distribuzione generale tra i generi di app negli store di Google e Huawei (immagine sotto).

Humanoid Attack ha i suoi settori di destinazione preferiti e compare solo in otto categorie delle 25 studiate nel rapporto. I ricercatori suggeriscono che le variazioni nella distribuzione potrebbero essere dovute a differenze culturali nell'utilizzo delle app. Google Play detiene la quota maggiore negli Stati Uniti e in Europa, mentre Huawei ha una maggiore presa sulla Cina. Di conseguenza, il modello di infezione Huawei prende di mira il Libri, Istruzione e Shopping categorie, mentre in Google Play il Notizie, Riviste e Strumenti le categorie sono più colpite.

I ricercatori, che stanno attualmente contattando i fornitori delle app interessate per contribuire a risolvere il problema e che hanno ricevuto conferma da Google, sostengono che Humanoid Attack ha già causato "enormi perdite" agli inserzionisti. Al momento della stesura del documento, e prima di contattare i fornitori, il rapporto afferma che delle 157 app infette presenti negli store Google Play e Huawei, solo 39 erano state rimosse.

Il rapporto osserva inoltre che il Strumenti La categoria è ben rappresentata in entrambi i mercati ed è un bacino interessante a causa dei livelli insoliti di autorizzazioni che gli utenti sono disposti a concedere a questo tipo di app.

nativi vs. Distribuzione dell'SDK

Tra le app identificate come soggette ad attacchi umanoidi, la maggior parte non utilizza l'iniezione diretta di codice, ma si affida invece a SDK pubblicitari di terze parti che, dal punto di vista della programmazione, sono framework di monetizzazione "drop in".

Il 67% delle app Huawei infette e il 95.2% delle app Google Play infette sfruttano un approccio SDK che ha meno probabilità di essere scoperto tramite analisi statica o altri metodi che si concentrano sul codice locale dell'app piuttosto che sull'impronta comportamentale più ampia delle interazioni dell'app con risorse remote.

I ricercatori hanno confrontato l'efficacia di ClickScanner, che utilizza un classificatore basato su Variational Autoencoders (VAE), con VirusTotal, una piattaforma di rilevamento che integra molte altre piattaforme, tra cui Kaspersky e McAfee. I dati sono stati caricati su VirusTotal due volte, con un intervallo di sei mesi per scontare possibili risultati anomali o errati da VirusTotal.

Secondo la ricerca, rispettivamente 58 e 57 app su Google Play e Huawei AppGallery hanno aggirato le capacità di rilevamento di VirusTotal, e solo cinque app infette sono state rilevate da più di 7 motori di rilevamento.

SDK di annunci dannosi

Il rapporto rileva la presenza di un SDK pubblicitario dannoso non divulgato in 43 app studiate, che ha "un impatto maggiore" rispetto ad altre segnalate, poiché è progettato per fare clic su un annuncio una seconda volta se l'utente fa clic su di esso una volta, costringendo l'utente a partecipare ad attività fraudolente.

Il rapporto rileva che questo SDK dannoso ha raggiunto 270 milioni di installazioni da quando è stato reso disponibile tramite Google Play e che il relativo codice GitHub è stato eliminato nel novembre 2020. I ricercatori ipotizzano che ciò possa essere avvenuto in risposta a un rafforzamento delle misure antifrode di Google.

Un altro SDK, che ha raggiunto una base di installazione di 476 milioni, "aiuta" gli utenti a riprodurre automaticamente i video, ma poi fa clic automaticamente su eventuali annunci che compaiono quando il video è in pausa.