İnsansı Saldırı: Makine Öğrenimi Yoluyla Yeni Bir Tıklama Dolandırıcılığı Biçimi Tespit Edildi

ABD, Avustralya ve Çin'den bir araştırma girişimi, "İnsansı Saldırı" olarak adlandırılan ve geleneksel algılama çerçevelerini geride bırakan ve sahte tıklamalardan gelir elde etmek için mobil uygulamalardaki gerçek hayattaki kullanıcı etkileşimlerini kullanan yeni bir tıklama sahtekarlığı türü belirledi. gömülü üçüncü taraf çerçeve reklamları.

The kâğıtShanghai Jiao Tong Üniversitesi liderliğindeki , tıklama sahtekarlığına ilişkin bu yeni varyasyonun zaten geniş çapta yayılmış olduğunu iddia ediyor ve Google Play ve Huawei uygulama pazarlarındaki en yüksek puan alan 157 uygulama arasından 20,000'sinin virüslü olduğunu tespit ediyor.

Çalışmada tartışılan HA bulaşmış bir sosyal ve iletişim uygulamasının 570 milyon indirildiği bildiriliyor. Rapor, diğer dört uygulamanın 'aynı şirket tarafından üretilen benzer tıklama dolandırıcılık kodlarına sahip olduğu ortaya çıkıyor'.

Araştırmacılar, Humanoid Attack (HA) özelliğine sahip uygulamaları tespit etmek için, Android uygulamalarının bayt kodu düzeyinde incelemesinden statik analize dayalı veri bağımlılığı grafikleri oluşturan ClickScanner adlı bir araç geliştirdi.

HA'nın temel özellikleri daha sonra bir özellik vektörüne beslenir ve virüs bulaşmamış uygulamalar üzerinde eğitilmiş bir veri kümesi üzerinde hızlı uygulama analizi sağlar. Araştırmacılar, ClickScanner'ın en popüler benzer tarama çerçeveleri tarafından alınan sürenin %16'sından daha azında çalıştığını iddia ediyor.

İnsansı Saldırı Metodolojisi

Tıklama sahtekarlığı imzaları, tipik olarak, tanımlanabilir tekrar kalıpları, olası olmayan bağlamlar ve reklamla beklenen insan etkileşiminin mekanizasyonunun, gerçek kullanıcılar arasında meydana gelen otantik ve daha rastgele kullanım kalıplarıyla eşleşmediği bir dizi başka faktör aracılığıyla ortaya çıkar.

Bu nedenle araştırma, HA'nın virüslü bir mobil Android uygulamasından gerçek dünyadaki kullanıcı tıklamalarının modelini kopyaladığını, böylece sahte reklam etkileşimlerinin aktif kullanım süreleri ve simüle edilmediğini gösteren diğer çeşitli imza özellikleri dahil olmak üzere kullanıcının genel profiliyle eşleştiğini iddia ediyor. kullanım.

İnsansı Saldırı tıklama dolandırıcılığının zamanlama modeli, kullanıcı etkileşimi tarafından belirlenir. Kaynak: https://arxiv.org/pdf/2105.11103.pdf

HA, tıklamaları simüle etmek için dört yaklaşım kullanıyor gibi görünmektedir: gönderimDokunmaEtkinliği Android'de; tetikleme süresinin rasgele ayarlanması; kullanıcının gerçek tıklamalarını gölgeleme; ve daha sonra HA'nın gerçekleştirmesi için gelişmiş sahte eylemler gönderebilecek bir uzak sunucuyla iletişim kurmadan önce, kullanıcının tıklama modellerinin kodda profilinin çıkarılması.

Çeşitli Yaklaşımlar

HA, bireysel uygulamalar arasında farklı şekilde ve ayrıca uygulama kategorileri arasında oldukça farklı bir şekilde uygulanarak buluşsal yöntemlerle veya daha iyi bilinen model türleri bekleyen yerleşik, endüstri standardı tarama ürünleriyle kolayca algılanabilecek tüm kalıpları daha da karmaşık hale getirir.

Rapor, HA'nın uygulama türleri arasında eşit bir şekilde dağılmadığını gözlemliyor ve Google ve Huawei mağazalarındaki uygulama türleri arasındaki genel dağılımı özetliyor (aşağıdaki resim).

İnsansı Saldırı, tercih edilen hedef sektörlere sahiptir ve raporda incelenen 25 kategoriden yalnızca sekizinde yer alır. Araştırmacılar, dağıtımdaki farklılıkların uygulama kullanımındaki kültürel farklılıklardan kaynaklanabileceğini öne sürüyor. Google Play, ABD ve Avrupa'da en büyük paya sahipken, Huawei Çin'de daha büyük bir hakimiyete sahip. Sonuç olarak, Huawei bulaşma modeli, Kitaplar, Eğitim ve Alışveriş kategoriler, Google Play'deyken Haberler, Dergiler ve Tools kategorileri daha çok etkilenir.

Sorunun düzeltilmesine yardımcı olmak için şu anda etkilenen uygulamaların satıcılarıyla iletişim halinde olan ve Google'dan onay alan araştırmacılar, Humanoid Attack'ın şimdiden reklamverenler için 'büyük kayıplara' neden olduğunu iddia ediyor. Rapor, makalenin yazıldığı sırada ve satıcılarla iletişime geçmeden önce, Google Play ve Huawei mağazalarındaki virüslü 157 uygulamadan yalnızca 39'unun kaldırıldığını belirtiyor.

Rapor ayrıca şunu da gözlemliyor: Tools kategorisi her iki pazarda da iyi bir şekilde temsil edilmektedir ve kullanıcıların bu tür uygulamalara vermeye istekli oldukları olağan dışı izin düzeyleri nedeniyle çekici bir hizmet alanıdır.

Yerli Vs. SDK Dağıtımı

İnsansı Saldırıya tabi olduğu belirlenen uygulamalar arasında, çoğunluğu doğrudan kod enjeksiyonu kullanmaz, bunun yerine programlama açısından para kazanma çerçeveleri olan üçüncü taraf reklam SDK'larına güvenir.

Virüs bulaşmış Huawei uygulamalarının %67'si ve virüs bulaşmış Google Play uygulamalarının %95.2'si, statik analizle veya uygulamanın daha geniş davranışsal parmak izi yerine uygulamanın yerel koduna odaklanan diğer yöntemlerle keşfedilme olasılığı daha düşük olan bir SDK yaklaşımı kullanıyor. uygulamanın uzak kaynaklarla etkileşimleri.

Araştırmacılar, Değişken Otomatik Kodlayıcılara (VAE'ler) dayalı bir sınıflandırıcı kullanan ClickScanner'ın etkinliğini, Kaspersky ve McAfee dahil olmak üzere diğer birçok platformu entegre eden bir algılama platformu olan VirusTotal ile karşılaştırdı. Veriler, VirusTotal'dan alınan hatalı sonuçların olası anormalliklerini azaltmak için altı aylık bir aralıkla VirusTotal'a iki kez yüklendi.

Araştırmaya göre, Google Play ve Huawei AppGallery'deki sırasıyla 58 ve 57 uygulama, VirusTotal'ın algılama yeteneklerini atladı.

Kötü Amaçlı Reklam SDK'ları

Rapor, incelenen 43 uygulamada ifşa edilmemiş bir kötü amaçlı reklamcılık SDK'sının varlığını gözlemliyor ve bu, kullanıcı bir kez tıkladığında bir reklamı ikinci kez tıklatarak kullanıcıyı bunu yapmaya zorlayacak şekilde tasarlandığından, bildirilen diğerlerine göre "daha büyük bir etkiye" sahip. dolandırıcılık faaliyetlerine katılmak.

Rapor, bu kötü amaçlı SDK'nın Google Play aracılığıyla kullanıma sunulduğundan beri 270 milyon yükleme gerçekleştirdiğini ve bunun için GitHub kodunun 2020 Kasım'ında silindiğini belirtiyor. dolandırıcılığa karşı kendi önlemleri.

476 milyon yükleme tabanına ulaşan başka bir SDK, kullanıcıların videoları otomatik oynatmasına "yardımcı oluyor", ancak video duraklatıldığında görünen tüm reklamları otomatik olarak tıklıyor.