Atacul umanoid: o nouă formă de fraudă prin clic identificată prin învățarea automată

O inițiativă de cercetare din SUA, Australia și China a identificat o nouă tulpină de fraudă bazată pe clicuri, denumită „Atac umanoid”, care ocolește cadrele convenționale de detectare și exploatează interacțiunile reale ale utilizatorilor în aplicațiile mobile pentru a genera venituri din clicuri false pe reclame încorporate de terți.

hârtie, condusă de Universitatea Jiao Tong din Shanghai, susține că această nouă variantă a fraudei prin clicuri este deja răspândită pe scară largă și identifică 157 de aplicații infectate din cele 20,000 de aplicații de top de pe piețele de aplicații Google Play și Huawei.

Se raportează că o aplicație socială și de comunicare infectată cu HA discutată în studiu are 570 de milioane de descărcări. Raportul notează că alte patru aplicații „produse de aceeași companie se dovedesc a avea coduri similare pentru frauda prin clicuri”.

Pentru a detecta aplicațiile care prezintă Humanoid Attack (HA), cercetătorii au dezvoltat un instrument intitulat ClickScanner, care generează grafice de dependență de date, pe baza analizei statice, din inspecția la nivel de bytecode a aplicațiilor Android.

Caracteristicile cheie ale HA sunt apoi introduse într-un vector de caracteristici, permițând analiza rapidă a aplicației pe un set de date antrenat pe aplicații neinfectate. Cercetătorii susțin că ClickScanner funcționează la mai puțin de 16% din timpul necesar celor mai populare cadre de scanare similare.

Metodologia atacului umanoid

Semnăturile fraudelor prin clic sunt de obicei dezvăluite prin modele identificabile de repetare, contexte improbabile și o serie de alți factori în care mecanizarea interacțiunii umane anticipate cu publicitatea nu reușește să se potrivească cu modelele de utilizare autentice și mai aleatorii care apar la utilizatorii reali.

Prin urmare, susține studiul, HA copiază modelul clicurilor utilizatorilor din lumea reală dintr-o aplicație mobilă Android infectată, astfel încât interacțiunile false cu reclamele se potrivesc cu profilul general al utilizatorului, inclusiv orele de utilizare activă și diverse alte caracteristici distinctive care indică o utilizare nesimulată.

Modelul de sincronizare al fraudei prin clicuri Humanoid Attack este dictat de interacțiunea utilizatorului. Sursă: https://arxiv.org/pdf/2105.11103.pdf

HA pare să folosească patru abordări pentru a simula clicurile: randomizarea coordonatelor evenimentelor trimise către dispatchTouchEvent în Android; randomizarea momentului de declanșare; umbrirea clicurilor reale ale utilizatorului; și profilarea tiparelor de clicuri ale utilizatorului în cod, înainte de comunicarea cu un server la distanță, care poate trimite ulterior acțiuni false îmbunătățite pentru ca HA să le execute.

Abordări variate

HA este implementat diferit pentru aplicațiile individuale și, de asemenea, destul de diferit pentru categoriile de aplicații, ofucând și mai mult orice tipare care ar putea fi ușor de detectat prin metode euristice sau produse de scanare stabilite, standard în industrie, care se așteaptă la tipuri de modele mai cunoscute.

Raportul observă că HA nu este distribuită uniform între tipurile de aplicații și subliniază distribuția generală între genurile de aplicații în magazinele Google și Huawei (imaginea de mai jos).

Humanoid Attack are sectoarele țintă preferate și figurează în doar opt categorii din cele 25 studiate în raport. Cercetătorii sugerează că variațiile în distribuție se pot datora diferențelor culturale în utilizarea aplicației. Google Play are cea mai mare cotă în SUA și Europa, în timp ce Huawei are o stăpânire mai mare pe China. În consecință, modelul de infecție cu Huawei vizează Manuale, Educaţie și Cumpărături categorii, în timp ce în Google Play Ştiri, Reviste și Instrumente categoriile sunt mai afectate.

Cercetătorii, care comunică în prezent cu furnizorii aplicațiilor afectate pentru a ajuta la remedierea problemei și care au primit confirmare de la Google, susțin că atacul umanoid a cauzat deja „pierderi uriașe” agenților de publicitate. La momentul redactării articolului și înainte de a se lua legătura cu furnizorii, raportul precizează că, din 157 de aplicații infectate din magazinele Google Play și Huawei, doar 39 fuseseră încă eliminate.

Raportul mai observă că Instrumente categoria este bine reprezentată pe ambele piețe și este un bazin atractiv datorită nivelurilor neobișnuite de permisiuni pe care utilizatorii sunt dispuși să le acorde acestor tipuri de aplicații.

Nativ vs. Implementare SDK

Printre aplicațiile identificate ca fiind supuse atacurilor umanoide, majoritatea nu utilizează injecție directă de cod, ci se bazează pe SDK-uri publicitare terțe, care, din punct de vedere al programării, sunt framework-uri de monetizare „drop-in”.

67% dintre aplicațiile Huawei infectate și 95.2% dintre aplicațiile Google Play infectate utilizează o abordare SDK care este mai puțin probabil să fie descoperită prin analiză statică sau prin alte metode care se concentrează pe codul local al aplicației, mai degrabă decât pe amprenta comportamentală mai largă a interacțiunilor aplicației cu resurse la distanță.

Cercetătorii au comparat eficacitatea ClickScanner, care utilizează un clasificator bazat pe Variational Autoencoders (VAE), cu VirusTotal, o platformă de detectare care integrează multe alte platforme, inclusiv Kaspersky și McAfee. Datele au fost încărcate în VirusTotal de două ori, cu un interval de șase luni pentru a reduce eventualele rezultate anormale de la VirusTotal.

58 și, respectiv, 57 de aplicații din Google Play, respectiv Huawei AppGallery, au ocolit capacitățile de detectare ale VirusTotal, conform studiului, care a constatat, de asemenea, că doar cinci aplicații infectate au putut fi detectate de mai mult de 7 motoare de detectare.

SDK-uri pentru anunțuri rău intenționate

Raportul observă prezența unui SDK de publicitate rău intenționat nedezvăluit în 43 de aplicații studiate, care are „un impact mai mare” decât altele raportate, deoarece este conceput să dea clic pe o reclamă a doua oară dacă utilizatorul dă clic pe ea o dată, forțându-l pe acesta să participe la activități frauduloase.

Raportul menționează că acest SDK rău intenționat a înregistrat 270 de milioane de instalări de când a fost pus la dispoziție prin Google Play și că codul GitHub pentru acesta a fost șters în noiembrie 2020. Cercetătorii presupun că acest lucru s-ar putea datora unei intensificări a măsurilor antifraudă ale Google.

Un alt SDK, care a ajuns la o bază instalată de 476 de milioane, „ajută” utilizatorii să redea automat videoclipurile, dar apoi dă clic automat pe orice reclame care apar atunci când videoclipul este întrerupt.