Connect with us

การโจมตีด้วยรูปแบบมนุษย์: รูปแบบใหม่ของการฉ้อโกงคลิกที่ถูกตรวจพบผ่านการเรียนรู้ของเครื่อง

ความปลอดภัยไซเบอร์

การโจมตีด้วยรูปแบบมนุษย์: รูปแบบใหม่ของการฉ้อโกงคลิกที่ถูกตรวจพบผ่านการเรียนรู้ของเครื่อง

mm
Published
Updated

โครงการวิจัยจากสหรัฐฯ ออสเตรเลีย และจีนได้ระบุรูปแบบใหม่ของการฉ้อโกงคลิกที่เรียกว่า ‘การโจมตีด้วยรูปแบบมนุษย์’ ซึ่งสามารถหลบหลีกการตรวจจับได้จากการใช้เฟรมเวิร์กการตรวจจับทั่วไป และใช้การโต้ตอบของผู้ใช้จริงในแอปพลิเคชันมือถือเพื่อสร้างรายได้จากคลิกปลอมบนโฆษณาที่ฝังตัวในเฟรมเวิร์กของบุคคลที่สาม

เอกสาร เอกสาร ที่นำโดย Shanghai Jiao Tong University ระบุว่าการฉ้อโกงคลิกรูปแบบใหม่นี้ได้แพร่กระจายอย่างกว้างขวางแล้ว และพบว่ามีแอปพลิเคชันที่ติดเชื้อ 157 แอปพลิเคชันจาก 20,000 แอปพลิเคชันที่มีคะแนนสูงสุดใน Google Play และ Huawei app markets

แอปพลิเคชันสังคมและ通信ที่ติดเชื้อ HA ที่กล่าวถึงในรายงานมีการดาวน์โหลด 570 ล้านครั้ง รายงานระบุว่าแอปพลิเคชันอื่น ๆ สี่แอปที่ ‘ผลิตโดยบริษัทเดียวกันมีรหัสการฉ้อโกงคลิกที่คล้ายกัน’

ในการตรวจจับแอปพลิเคชันที่มีการโจมตีด้วยรูปแบบมนุษย์ (HA) นักวิจัยได้พัฒนาเครื่องมือที่เรียกว่า ClickScanner ซึ่งสร้างกราฟความสัมพันธ์ข้อมูลจากการสแกนโค้ด Android ที่ระดับไบนารี่

คุณลักษณะสำคัญของ HA จะถูกป้อนเข้าไปในเวกเตอร์คุณลักษณะ ซึ่งช่วยให้สามารถวิเคราะห์แอปพลิเคชันได้อย่างรวดเร็วในเซตข้อมูลที่ฝึกอบรมจากแอปพลิเคชันที่ไม่ติดเชื้อ นักวิจัยอ้างว่า ClickScanner ทำงานได้น้อยกว่า 16% ของเวลาที่ใช้โดยเฟรมเวิร์กการสแกนยอดนิยม

วิธีการโจมตีด้วยรูปแบบมนุษย์

การฉ้อโกงคลิกโดยทั่วไปจะถูกตรวจจับได้จากการทำซ้ำที่สามารถระบุได้ สภาพแวดล้อมที่ไม่น่าเชื่อ และปัจจัยอื่น ๆ ที่การโต้ตอบกับโฆษณาที่คาดหวังจะไม่ตรงกับรูปแบบการใช้งานที่แท้จริงและเป็นแบบสุ่มที่เกิดขึ้นในผู้ใช้จริง

ดังนั้น การวิจัยอ้างว่า HA คัดลอกรูปแบบการคลิกของจริงจากแอปพลิเคชันมือถือที่ติดเชื้อ เพื่อให้การโต้ตอบกับโฆษณาปลอมที่ตรงกับโปรไฟล์ของผู้ใช้ รวมถึงเวลาที่ใช้งานอยู่และคุณลักษณะอื่น ๆ ที่บ่งบอกถึงการใช้งานที่ไม่ถูกจำลอง

รูปแบบเวลาของการโจมตีด้วยรูปแบบมนุษย์ถูกกำหนดโดยการโต้ตอบของผู้ใช้

รูปแบบเวลาของการโจมตีด้วยรูปแบบมนุษย์ถูกกำหนดโดยการโต้ตอบของผู้ใช้ Source: https://arxiv.org/pdf/2105.11103.pdf

HA ดูเหมือนจะใช้วิธีการจำลองคลิกสี่วิธี: การสุ่มพิกัดของเหตุการณ์ที่ส่งไปที่ dispatchTouchEvent ใน Android; การสุ่มเวลาที่จะเกิดเหตุการณ์; การซ่อนการคลิกจริงของผู้ใช้; และการสร้างโปรไฟล์การคลิกของผู้ใช้ในโค้ด ก่อนที่จะสื่อสารกับเซิร์ฟเวอร์ระยะไกล ซึ่งอาจส่งการกระทำปลอมที่ได้รับการปรับปรุงสำหรับ HA เพื่อทำ

วิธีการที่หลากหลาย

HA ถูกนำไปใช้อย่างแตกต่างกันในแอปพลิเคชันแต่ละตัว และแตกต่างกันอย่างมากในหมวดหมู่ของแอปพลิเคชัน ทำให้การตรวจจับโดยวิธีการแบบคาดเดาได้หรือผลิตภัณฑ์การสแกนมาตรฐานในอุตสาหกรรมที่คาดหวังรูปแบบที่ทราบกันดีขึ้น

รายงานสังเกตเห็นว่า HA ไม่ได้กระจายอย่างสม่ำเสมอในหมวดหมู่ของแอปพลิเคชัน และระบุการกระจายทั่วไปในหมวดหมู่ของแอปพลิเคชันใน Google และ Huawei stores (ภาพด้านล่าง)

การโจมตีด้วยรูปแบบมนุษย์มีภาคส่วนที่เป็นเป้าหมาย และปรากฏในหมวดหมู่เพียงแปดหมวดหมู่จาก 25 หมวดหมู่ที่ศึกษาในรายงาน นักวิจัยแนะนำว่าการกระจายที่แตกต่างกันอาจเป็นผลมาจากความแตกต่างทางวัฒนธรรมในการใช้แอปพลิเคชัน Google Play มีส่วนแบ่งที่มากที่สุดใน US และยุโรป ในขณะที่ Huawei มีส่วนแบ่งที่มากขึ้นในจีน ดังนั้นรูปแบบการโจมตีของ Huawei จึงมุ่งเป้าไปที่หมวดหมู่ Books, Education และ Shopping ในขณะที่ใน Google Play หมวดหมู่ News, Magazines และ Tools ได้รับผลกระทบมากกว่า

นักวิจัยซึ่งกำลังสื่อสารกับผู้ให้บริการแอปพลิเคชันที่ได้รับผลกระทบเพื่อช่วยแก้ไขปัญหา และได้รับการยืนยันจาก Google อ้างว่าการโจมตีด้วยรูปแบบมนุษย์ทำให้เกิด ‘ความสูญเสียที่ยิ่งใหญ่’ แก่ผู้ลงโฆษณา ในขณะที่รายงานถูกเขียนและก่อนที่จะสื่อสารกับผู้ให้บริการ แอปพลิเคชันที่ติดเชื้อ 157 แอปพลิเคชันจาก Google Play และ Huawei stores เพียง 39 แอปพลิเคชันเท่านั้นที่ถูกลบออกแล้ว

รายงานยังระบุด้วยว่าหมวดหมู่ Tools มีการแสดงอย่างดีในตลาดทั้งสอง และเป็นหมวดหมู่ที่น่าสนใจเนื่องจากมีการอนุญาตที่ผู้ใช้ให้ไว้กับแอปพลิเคชันเหล่านี้

การนำไปใช้แบบ Native และ SDK

ในหมวดหมู่ของแอปพลิเคชันที่ถูกโจมตีโดย HA ส่วนใหญ่ไม่ได้ใช้การฉีดโค้ดโดยตรง แต่ขึ้นอยู่กับ SDK โฆษณาของบุคคลที่สาม ซึ่งจากมุมมองของการเขียนโปรแกรมเป็นเฟรมเวิร์กการสร้างรายได้ที่ ‘drop in’

67% ของแอปพลิเคชันที่ติดเชื้อของ Huawei และ 95.2% ของแอปพลิเคชันที่ติดเชื้อของ Google Play ใช้วิธีการ SDK ที่น่าจะถูกตรวจจับได้น้อยกว่าโดยการวิเคราะห์แบบคงที่ หรือโดยวิธีการอื่น ๆ ที่มุ่งเน้นไปที่โค้ดท้องถิ่นของแอปพลิเคชันมากกว่าการตรวจสอบลายนิ้วการโต้ตอบของแอปพลิเคชันกับทรัพยากรระยะไกล

นักวิจัยเปรียบเทียบประสิทธิภาพของ ClickScanner ซึ่งใช้คลาสสิฟายเออร์แบบ Variational Autoencoders (VAEs) กับ VirusTotal ซึ่งเป็นแพลตฟอร์มการตรวจจับที่รวมถึงแพลตฟอร์มอื่น ๆ รวมถึง Kaspersky และ McAfee ข้อมูลถูกอัปโหลดไปยัง VirusTotal สองครั้ง โดยมีระยะห่างหกเดือนเพื่อลดผลลัพธ์ที่ผิดปกติหรือไม่ถูกต้องจาก VirusTotal

58 และ 57 แอปพลิเคชันใน Google Play และ Huawei AppGallery ตามลำดับ หลบหลีกการตรวจจับของ VirusTotal ตามรายงาน ซึ่งยังพบว่าเพียงห้าแอปพลิเคชันที่ติดเชื้อสามารถตรวจจับได้โดยเครื่องมือตรวจจับมากกว่า 7 เครื่อง

SDK โฆษณาที่เป็นอันตราย

รายงานสังเกตเห็นถึงการมีอยู่ของ SDK โฆษณาที่เป็นอันตรายที่ไม่ได้ระบุใน 43 แอปพลิเคชันที่ศึกษา ซึ่งมี ‘ผลกระทบมากกว่า’ รายงานอื่น ๆ เนื่องจากได้รับการออกแบบมาเพื่อคลิกโฆษณาครั้งที่สองหากผู้ใช้คลิกโฆษณาครั้งแรก ซึ่งบังคับให้ผู้ใช้เข้าร่วมในการฉ้อโกง

รายงานระบุว่า SDK ที่เป็นอันตรายนี้ได้รับการติดตั้ง 270 ล้านครั้งตั้งแต่การเผยแพร่ผ่าน Google Play และโค้ด GitHub สำหรับ SDK นี้ถูกลบออกในเดือนพฤศจิกายน 2020 นักวิจัยสันนิษฐานว่านี่อาจเป็นการตอบสนองต่อการเพิ่มขึ้นของมาตรการป้องกันการฉ้อโกงของ Google

SDK อื่นซึ่งมีการติดตั้ง 476 ล้านครั้ง ‘ช่วย’ ผู้ใช้ในการเล่นวิดีโอโดยอัตโนมัติ แต่จากนั้นจะคลิกโฆษณาโดยอัตโนมัติเมื่อวิดีโอปause

mm

นักเขียนด้านการเรียนรู้ของเครื่องจักร ผู้เชี่ยวชาญด้านสังเคราะห์ภาพมนุษย์ อดีตหัวหน้าฝ่ายวิจัยเนื้อหาที่ Metaphysic.ai