Atacul umanoid: o nouă formă de fraudă prin clic identificată prin învățarea automată

O inițiativă de cercetare din SUA, Australia și China a identificat o nouă tulpină de fraudă prin clicuri, denumită „Atacul umanoid”, care trece peste cadrele convenționale de detectare și exploatează interacțiunile utilizatorilor din viața reală în aplicațiile mobile pentru a genera venituri din clicurile false pe reclame cadru integrate de la terți.

hârtie, condusă de Universitatea Jiao Tong din Shanghai, susține că această nouă variantă a fraudei prin clicuri este deja răspândită pe scară largă și identifică 157 de aplicații infectate din cele 20,000 de aplicații de top de pe piețele de aplicații Google Play și Huawei.

Se raportează că o aplicație socială și de comunicare infectată cu HA discutată în studiu are 570 de milioane de descărcări. Raportul notează că alte patru aplicații „produse de aceeași companie se manifestă a avea coduri similare de fraudă a clicurilor”.

Pentru a detecta aplicațiile care prezintă Humanoid Attack (HA), cercetătorii au dezvoltat un instrument intitulat ClickScanner, care generează grafice de dependență de date, pe baza analizei statice, din inspecția la nivel de bytecode a aplicațiilor Android.

Caracteristicile cheie ale HA sunt apoi introduse într-un vector de caracteristici, permițând analiza rapidă a aplicației pe un set de date antrenat pe aplicații neinfectate. Cercetătorii susțin că ClickScanner funcționează la mai puțin de 16% din timpul necesar celor mai populare cadre de scanare similare.

Metodologia atacului umanoid

Semnăturile fraudelor prin clic sunt de obicei dezvăluite prin modele identificabile de repetare, contexte improbabile și o serie de alți factori în care mecanizarea interacțiunii umane anticipate cu publicitatea nu reușește să se potrivească cu modelele de utilizare autentice și mai aleatorii care apar la utilizatorii reali.

Prin urmare, susține cercetarea, HA copiază tiparul clicurilor utilizatorilor din lumea reală dintr-o aplicație mobilă Android infectată, astfel încât interacțiunile cu anunțuri false să se potrivească cu profilul general al utilizatorului, inclusiv cu perioadele active de utilizare și diverse alte caracteristici de semnătură care indică nesimularea. utilizare.

Modelul de sincronizare al fraudei prin clicuri Humanoid Attack este dictat de interacțiunea utilizatorului. Sursă: https://arxiv.org/pdf/2105.11103.pdf

HA pare să folosească patru abordări pentru a simula clicurile: randomizarea coordonatelor evenimentelor trimise către dispatchTouchEvent în Android; randomizarea timpului de declanșare; umbrirea clicurilor reale ale utilizatorului; și profilarea tiparelor de clic ale utilizatorului în cod, înainte de a comunica cu un server la distanță, care poate trimite ulterior acțiuni false îmbunătățite pentru ca HA să le efectueze.

Abordări variate

HA este implementat diferit pentru aplicațiile individuale și, de asemenea, destul de diferit pentru categoriile de aplicații, ofucând și mai mult orice tipare care ar putea fi ușor de detectat prin metode euristice sau produse de scanare stabilite, standard în industrie, care se așteaptă la tipuri de modele mai cunoscute.

Raportul observă că HA nu este distribuită uniform între tipurile de aplicații și subliniază distribuția generală între genurile de aplicații în magazinele Google și Huawei (imaginea de mai jos).

Humanoid Attack are sectoarele țintă preferate și figurează în doar opt categorii din cele 25 studiate în raport. Cercetătorii sugerează că variațiile în distribuție se pot datora diferențelor culturale în utilizarea aplicației. Google Play are cea mai mare cotă în SUA și Europa, în timp ce Huawei are o stăpânire mai mare pe China. În consecință, modelul de infecție cu Huawei vizează Manuale, Educaţie și Cumpărături categorii, în timp ce în Google Play Noutăţi, Reviste și Instrumente categoriile sunt mai afectate.

Cercetătorii, care comunică în prezent cu furnizorii de aplicații afectate pentru a ajuta la remedierea problemei și care au primit confirmarea de la Google, susțin că Humanoid Attack a provocat deja „pierderi uriașe” agenților de publicitate. La momentul redactării lucrării și înainte de a intra în legătură cu furnizorii, raportul afirmă că din 157 de aplicații infectate din magazinele Google Play și Huawei, doar 39 au fost încă eliminate.

Raportul mai observă că Instrumente categoria este bine reprezentată pe ambele piețe și este un bazin atractiv datorită nivelurilor neobișnuite de permisiuni pe care utilizatorii sunt dispuși să le acorde acestor tipuri de aplicații.

Nativ vs. Implementare SDK

Dintre aplicațiile identificate ca fiind supuse atacului umanoid, majoritatea nu folosesc injecția directă de cod, ci se bazează în schimb pe SDK-uri publicitare terță parte, care, din punct de vedere al programării, sunt cadre de monetizare „drop in”.

67% dintre aplicațiile infectate Huawei și 95.2% dintre aplicațiile infectate Google Play folosesc o abordare SDK care este mai puțin probabil să fie descoperită prin analiză statică sau prin alte metode care se concentrează pe codul local al aplicației, mai degrabă decât pe amprenta comportamentală mai largă a interacțiunile aplicației cu resursele de la distanță.

Cercetătorii au comparat eficacitatea ClickScanner, care utilizează un clasificator bazat pe Variational Autoencoders (VAE), cu VirusTotal, o platformă de detectare care integrează multe alte platforme, inclusiv Kaspersky și McAfee. Datele au fost încărcate în VirusTotal de două ori, cu un interval de șase luni pentru a reduce eventualele rezultate anormale de la VirusTotal.

58 și, respectiv, 57 de aplicații din Google Play și, respectiv, Huawei AppGallery, au ocolit capacitățile de detectare ale VirusTotal, potrivit cercetării, care a constatat, de asemenea, că doar cinci aplicații infectate ar putea fi detectate de mai mult de 7 motoare de detectare.

SDK-uri pentru anunțuri rău intenționate

Raportul observă prezența unui SDK de publicitate rău intenționat nedezvăluit în 43 de aplicații studiate, care are „un impact mai mare” decât au raportat altele, deoarece este conceput pentru a face clic pe un anunț a doua oară dacă utilizatorul face clic pe acesta o dată, forțând utilizatorul să participa la activități frauduloase.

Raportul notează că acest SDK rău intenționat a realizat 270 de milioane de instalări de când a fost pus la dispoziție prin Google Play și că codul GitHub pentru acesta a fost șters în noiembrie 2020. Cercetătorii presupun că acest lucru ar fi putut fi ca răspuns la o creștere a programului Google. propriile măsuri antifraudă.

Un alt SDK, care a atins o bază de instalare de 476 de milioane, „ajuta” utilizatorii să redea automat videoclipurile, dar apoi dă clic automat pe orice reclamă care apare atunci când videoclipul este întrerupt.