ჰუმანოიდური თავდასხმა: დაწკაპუნების თაღლითობის ახალი ფორმა გამოვლენილი მანქანური სწავლების საშუალებით

აშშ-ს, ავსტრალიისა და ჩინეთის კვლევითმა ინიციატივამ გამოავლინა დაწკაპუნების თაღლითობის ახალი სახეობა, სახელწოდებით „ჰუმანოიდური თავდასხმა“, რომელიც სცილდება ჩვეულებრივი გამოვლენის ჩარჩოებს და იყენებს რეალურ ცხოვრებაში მომხმარებელთა ინტერაქციას მობილურ აპებში, რათა გამოიმუშავოს შემოსავალი ყალბი დაწკაპუნებით. ჩაშენებული მესამე მხარის ჩარჩო რეკლამები.

ის ქაღალდიშანხაის ჯიაო ტონგის უნივერსიტეტის ხელმძღვანელობით, ამტკიცებს, რომ დაწკაპუნების თაღლითობის ეს ახალი ვარიაცია უკვე ფართოდ არის გავრცელებული და განსაზღვრავს 157 ინფიცირებულ აპს ყველაზე რეიტინგული 20,000 აპიდან Google Play-სა და Huawei-ს აპების ბაზრებზე.

ერთი HA-ით ინფიცირებული სოციალური და საკომუნიკაციო აპლიკაცია, რომელიც განხილულია კვლევაში, მოხსენებულია, რომ აქვს 570 მილიონი ჩამოტვირთვა. მოხსენებაში აღნიშნულია, რომ კიდევ ოთხი აპლიკაცია "იგივე კომპანიის მიერ წარმოებული, როგორც ჩანს, აქვს მსგავსი დაწკაპუნების თაღლითობის კოდები".

ჰუმანოიდული თავდასხმის (HA) აპლიკაციების დასადგენად, მკვლევარებმა შეიმუშავეს ინსტრუმენტი სახელწოდებით ClickScanner, რომელიც აგენერირებს მონაცემთა დამოკიდებულების გრაფიკებს, სტატიკური ანალიზის საფუძველზე, Android აპლიკაციების ბაიტეკოდის დონის შემოწმებიდან.

HA-ს ძირითადი მახასიათებლები შემდეგ იკვებება ფუნქციების ვექტორში, რაც საშუალებას აძლევს აპლიკაციის სწრაფ ანალიზს არაინფიცირებულ აპებზე გაწვრთნილ მონაცემთა ბაზაზე. მკვლევარები ამტკიცებენ, რომ ClickScanner მუშაობს დროის 16%-ზე ნაკლებ დროში, რომელსაც იღებენ ყველაზე პოპულარული მსგავსი სკანირების ჩარჩოები.

ჰუმანოიდური თავდასხმის მეთოდოლოგია

დაწკაპუნების თაღლითობის ხელმოწერები, როგორც წესი, ვლინდება განმეორების იდენტიფიცირებადი შაბლონებით, ნაკლებად სავარაუდო კონტექსტით და რიგი სხვა ფაქტორებით, როდესაც რეკლამასთან მოსალოდნელი ადამიანის ურთიერთქმედების მექანიზაცია ვერ ემთხვევა ავთენტურ და უფრო შემთხვევითი გამოყენების შაბლონებს, რომლებიც გვხვდება რეალურ მომხმარებლებს შორის.

მაშასადამე, კვლევის თანახმად, HA აკოპირებს რეალურ სამყაროში მომხმარებლის დაწკაპუნებების ნიმუშს ინფიცირებული მობილური Android აპლიკაციიდან, ისე რომ ყალბი რეკლამის ურთიერთქმედება ემთხვეოდეს მომხმარებლის ზოგად პროფილს, გამოყენების აქტიური დროის ჩათვლით და სხვა ხელმოწერის ფუნქციებს, რომლებიც მიუთითებს არასიმულაციაზე. გამოყენება.

ჰუმანოიდური თავდასხმის დაწკაპუნების თაღლითობის დროის ნიმუში ნაკარნახევია მომხმარებლის ურთიერთქმედებით. წყარო: https://arxiv.org/pdf/2105.11103.pdf

როგორც ჩანს, HA იყენებს ოთხ მიდგომას დაწკაპუნების სიმულაციისთვის: რანდომიზირება მოვლენის კოორდინატების შემთხვევით dispatchTouchEvent ანდროიდში; გააქტიურების დროის რანდომიზაცია; მომხმარებლის რეალური დაწკაპუნების დაჩრდილვა; და მომხმარებლის დაწკაპუნების შაბლონების პროფილირება კოდში, დისტანციურ სერვერთან კომუნიკაციამდე, რომელიც შემდგომში შეიძლება გაუგზავნოს გაძლიერებული ყალბი ქმედებები HA-ს შესასრულებლად.

მრავალფეროვანი მიდგომები

HA განსხვავებულად არის დანერგილი ცალკეულ აპებში და ასევე საკმაოდ განსხვავებულად აპების კატეგორიებში, რაც კიდევ უფრო აბნელებს ნებისმიერ შაბლონს, რომელიც შეიძლება ადვილად აღმოჩენილი იყოს ევრისტიკული მეთოდებით, ან დამკვიდრებული ინდუსტრიის სტანდარტების სკანირების პროდუქტები, რომლებიც ელოდება უფრო ცნობილ შაბლონებს.

მოხსენებაში ნათქვამია, რომ HA არ არის თანაბრად განაწილებული აპლიკაციების ტიპებს შორის და ასახავს ზოგად განაწილებას აპების ჟანრებში Google-ისა და Huawei-ს მაღაზიებში (სურათი ქვემოთ).

ჰუმანოიდ თავდასხმას აქვს თავისი სასურველი სამიზნე სექტორები და ასახულია ანგარიშში შესწავლილი 25-დან მხოლოდ რვა კატეგორიაში. მკვლევარები ვარაუდობენ, რომ დისტრიბუციის ცვალებადობა შეიძლება გამოწვეული იყოს აპლიკაციების გამოყენების კულტურული განსხვავებებით. Google Play-ს უდიდესი წილი აქვს შეერთებულ შტატებსა და ევროპაში, ხოლო Huawei-ს ჩინეთში. შესაბამისად Huawei-ის ინფექციის ნიმუში მიზნად ისახავს წიგნები, განათლება მდე შოპინგის კატეგორიები, ხოლო Google Play-ში ახალი ამბები, ჟურნალები მდე ინსტრუმენტები კატეგორიები უფრო დაზარალებულია.

მკვლევარები, რომლებიც ამჟამად ურთიერთობენ დაზარალებული აპლიკაციების მომწოდებლებთან, რათა დაეხმარონ პრობლემის გამოსწორებას, და რომლებმაც მიიღეს აღიარება Google-ისგან, ამტკიცებენ, რომ ჰუმანოიდურმა თავდასხმამ უკვე გამოიწვია „დიდი ზარალი“ რეკლამის განმთავსებლებს. გაზეთის დაწერის დროს და მომწოდებლებთან დაკავშირებამდე მოხსენებაში ნათქვამია, რომ Google Play-სა და Huawei-ს მაღაზიებში 157 ინფიცირებული აპლიკაციიდან მხოლოდ 39 იყო ამოღებული.

მოხსენებაში ასევე აღნიშნულია, რომ ინსტრუმენტები კატეგორია კარგად არის წარმოდგენილი ორივე ბაზარზე და არის მიმზიდველი წყალშემკრები ნებართვების უჩვეულო დონის გამო, რომელიც მომხმარებლებს სურთ მიანიჭონ ამ ტიპის აპებს.

მშობლიური Vs. SDK განლაგება

იმ აპებს შორის, რომლებიც იდენტიფიცირებულნი არიან ჰუმანოიდული თავდასხმის ქვეშ, უმრავლესობა არ იყენებს პირდაპირ კოდის ინექციას, სამაგიეროდ ეყრდნობა მესამე მხარის სარეკლამო SDK-ებს, რომლებიც, პროგრამირების თვალსაზრისით, არის მონეტიზაციის „ჩავარდნილი“ ჩარჩოები.

ინფიცირებული Huawei აპლიკაციების 67% და ინფიცირებული Google Play აპლიკაციების 95.2% იყენებს SDK მიდგომას, რომელიც ნაკლებად სავარაუდოა აღმოჩენილი სტატიკური ანალიზით, ან სხვა მეთოდებით, რომლებიც კონცენტრირდება აპის ლოკალურ კოდზე, ვიდრე უფრო ფართო ქცევის თითის ანაბეჭდზე. აპლიკაციის ურთიერთქმედება დისტანციურ რესურსებთან.

მკვლევარებმა შეადარეს ClickScanner-ის ეფექტურობა, რომელიც იყენებს Variational Autoencoders-ზე დაფუძნებულ კლასიფიკატორს (VAE), VirusTotal-თან, აღმოჩენის პლატფორმასთან, რომელიც აერთიანებს ბევრ სხვა პლატფორმას, მათ შორის Kaspersky-სა და McAfee-ს. მონაცემები ორჯერ აიტვირთა VirusTotal-ზე, ექვსთვიანი ინტერვალით VirusTotal-ის მცდარი შედეგების შესაძლო ანომალიების შესამცირებლად.

58 და 57 აპი Google Play-სა და Huawei AppGallery-ში, შესაბამისად, გვერდი აუარა VirusTotal-ის გამოვლენის შესაძლებლობებს, კვლევის მიხედვით, რომელმაც ასევე დაადგინა, რომ მხოლოდ ხუთი ინფიცირებული აპლიკაციის აღმოჩენა შეიძლებოდა 7-ზე მეტი გამოვლენის ძრავით.

მავნე რეკლამის SDK-ები

მოხსენება აკვირდება 43 შესწავლილ აპში გაურკვეველი მავნე სარეკლამო SDK-ის არსებობას, რომელსაც აქვს „უფრო დიდი გავლენა“, ვიდრე სხვა მოხსენებული, რადგან ის შექმნილია რეკლამაზე მეორედ დაწკაპუნებაზე, თუ მომხმარებელი დააწკაპუნებს მასზე ერთხელ, რაც აიძულებს მომხმარებელს მონაწილეობა თაღლითურ საქმიანობაში.

მოხსენებაში აღნიშნულია, რომ ამ მავნე SDK-მ მიაღწია 270 მილიონ ინსტალაციას მას შემდეგ, რაც ხელმისაწვდომი გახდა Google Play-ს მეშვეობით და რომ GitHub კოდი წაშლილია 2020 წლის ნოემბერში. მკვლევარები ვარაუდობენ, რომ ეს შეიძლება იყოს Google-ის გაძლიერების საპასუხოდ. საკუთარი თაღლითობის საწინააღმდეგო ზომები.

კიდევ ერთი SDK, რომელმაც მიაღწია ინსტალაციის ბაზას 476 მილიონს, „ეხმარება“ მომხმარებლებს ვიდეოების ავტომატურ დაკვრაში, მაგრამ შემდეგ ავტომატურად დააწკაპუნებს ნებისმიერ რეკლამაზე, რომელიც გამოჩნდება ვიდეოს შეჩერებისას.