Ataque humanóide: nova forma de fraude de clique identificada por meio de aprendizado de máquina

Uma iniciativa de pesquisa dos EUA, Austrália e China identificou um novo tipo de fraude de cliques, apelidado de 'Ataque Humanóide', que foge das estruturas de detecção convencionais e explora as interações reais do usuário em aplicativos móveis para gerar receita com cliques falsos em anúncios de estrutura de terceiros incorporados.

A papel, liderado pela Shanghai Jiao Tong University, afirma que essa nova variação da fraude de cliques já está amplamente difundida e identifica 157 aplicativos infectados entre os 20,000 aplicativos com melhor classificação nos mercados de aplicativos Google Play e Huawei.

Um aplicativo social e de comunicação infectado por HA, discutido no estudo, teve 570 milhões de downloads. O relatório observa que quatro outros aplicativos 'produzidos pela mesma empresa manifestam ter códigos de fraude de clique semelhantes'.

Para detectar aplicativos que apresentam Humanoid Attack (HA), os pesquisadores desenvolveram uma ferramenta chamada ClickScanner, que gera gráficos de dependência de dados, com base em análise estática, a partir da inspeção em nível de bytecode de aplicativos Android.

Os principais recursos do HA são inseridos em um vetor de recursos, permitindo uma análise rápida do aplicativo em um conjunto de dados treinado em aplicativos não infectados. Os pesquisadores afirmam que o ClickScanner opera em menos de 16% do tempo gasto pelas estruturas de digitalização semelhantes mais populares.

Metodologia de Ataque Humanoide

As assinaturas de fraude de clique são normalmente reveladas por meio de padrões identificáveis ​​de repetição, contextos improváveis ​​e vários outros fatores em que a mecanização da interação humana antecipada com a publicidade não corresponde aos padrões de uso autênticos e mais aleatórios que ocorrem entre usuários reais.

Portanto, afirma a pesquisa, o HA copia o padrão de cliques do usuário do mundo real de um aplicativo móvel Android infectado, de modo que as interações de anúncios falsos correspondam ao perfil geral do usuário, incluindo tempos de uso ativos e vários outros recursos de assinatura que indicam não simulados uso.

O padrão de tempo da fraude de clique do Humanoid Attack é ditado pela interação do usuário. Fonte: https://arxiv.org/pdf/2105.11103.pdf

O HA parece utilizar quatro abordagens para simular cliques: randomizar as coordenadas dos eventos enviados para expediçãoTouchEvent no Android; aleatorização do tempo de disparo; acompanhando os cliques reais do usuário; e traçar o perfil dos padrões de clique do usuário em código, antes de se comunicar com um servidor remoto, que pode subsequentemente enviar ações falsas aprimoradas para HA executar.

Abordagens Variadas

O HA é implementado de maneira diferente em aplicativos individuais e também de maneira bastante diferente em categorias de aplicativos, ofuscando ainda mais quaisquer padrões que possam ser facilmente detectados por métodos heurísticos ou produtos de digitalização padrão do setor estabelecidos que esperam tipos de padrão mais conhecidos.

O relatório observa que o HA não é distribuído uniformemente entre os tipos de aplicativos e descreve a distribuição geral entre os gêneros de aplicativos nas lojas Google e Huawei (imagem abaixo).

O Humanoid Attack tem seus setores-alvo preferidos e aparece em apenas oito categorias das 25 estudadas no relatório. Os pesquisadores sugerem que as variações na distribuição podem ser devidas a diferenças culturais no uso do aplicativo. O Google Play tem maior participação nos EUA e na Europa, enquanto a Huawei tem maior participação na China. Consequentemente, o padrão de infecção da Huawei visa o Livros, Educação e minha categorias, enquanto no Google Play o Novidades, Revistas e Ferramentas categorias são mais afetadas.

Os pesquisadores, que estão atualmente se comunicando com os fornecedores dos aplicativos afetados para ajudar a remediar o problema e que receberam o reconhecimento do Google, afirmam que o Humanoid Attack já causou "enormes perdas" aos anunciantes. No momento da redação do artigo, e antes de entrar em contato com os fornecedores, o relatório afirma que, dos 157 aplicativos infectados nas lojas Google Play e Huawei, apenas 39 haviam sido removidos.

O relatório também observa que o Ferramentas A categoria está bem representada em ambos os mercados e é uma atração atraente devido aos níveis incomuns de permissões que os usuários estão dispostos a conceder a esses tipos de aplicativos.

Nativo vs. Implantação do SDK

Entre os aplicativos identificados como sujeitos ao Humanoid Attack, a maioria não usa injeção direta de código, mas depende de SDKs de anúncios de terceiros, que, do ponto de vista da programação, são estruturas de monetização 'drop in'.

67% dos aplicativos infectados da Huawei e 95.2% dos aplicativos infectados do Google Play utilizam uma abordagem de SDK com menor probabilidade de ser descoberta por análise estática ou por outros métodos que se concentram no código local do aplicativo, em vez da impressão digital comportamental mais ampla do interações do aplicativo com recursos remotos.

Os pesquisadores compararam a eficácia do ClickScanner, que usa um classificador baseado em Variational Autoencoders (VAEs), contra o VirusTotal, uma plataforma de detecção que integra muitas outras plataformas, incluindo Kaspersky e McAfee. Os dados foram carregados no VirusTotal duas vezes, com um intervalo de seis meses para descontar possíveis resultados anômalos ou errôneos do VirusTotal.

58 e 57 aplicativos no Google Play e no Huawei AppGallery, respectivamente, ignoraram os recursos de detecção do VirusTotal, de acordo com a pesquisa, que também descobriu que apenas cinco aplicativos infectados podem ser detectados por mais de 7 mecanismos de detecção.

SDKs de anúncios maliciosos

O relatório observa a presença de um SDK de publicidade maliciosa não divulgado em 43 aplicativos estudados, que tem 'um impacto maior' do que outros relatados, pois é projetado para clicar em um anúncio uma segunda vez se o usuário clicar nele uma vez, forçando o usuário a participar de atividades fraudulentas.

O relatório observa que esse SDK malicioso atingiu 270 milhões de instalações desde que foi disponibilizado no Google Play e que o código GitHub para ele foi excluído em novembro de 2020. Os pesquisadores supõem que isso pode ter sido uma resposta a um aumento da popularidade do Google próprias medidas antifraude.

Outro SDK, que atingiu uma base instalada de 476 milhões, 'ajuda' os usuários a reproduzir vídeos automaticamente, mas depois clica automaticamente em qualquer anúncio exibido quando o vídeo é pausado.