Гуманоїдна атака: нову форму шахрайства з кліками виявлено за допомогою машинного навчання

Дослідницька ініціатива з США, Австралії та Китаю виявила новий вид шахрайства з кліками, який отримав назву «Атака гуманоїдів», який виходить за рамки звичайних систем виявлення та використовує реальні взаємодії користувачів у мобільних додатках для отримання доходу від фальшивих кліків на вбудовані рекламні оголошення сторонніх розробників.

Команда папір, під керівництвом Шанхайського університету Цзяо Тонг, стверджує, що цей новий варіант шахрайства з кліками вже широко поширений, і ідентифікує 157 заражених програм із 20,000 XNUMX програм із найвищим рейтингом на ринках програм Google Play і Huawei.

Повідомляється, що один заражений HA соціальний і комунікаційний додаток, який обговорюється в дослідженні, має 570 мільйонів завантажень. У звіті зазначається, що ще чотири програми "вироблені тією самою компанією мають схожі коди шахрайства за кліками".

Щоб виявити додатки, які містять Humanoid Attack (HA), дослідники розробили інструмент під назвою ClickScanner, який генерує графіки залежності даних на основі статичного аналізу на основі перевірки додатків Android на рівні байт-коду.

Потім ключові функції HA вводяться у вектор функцій, що забезпечує швидкий аналіз додатків на наборі даних, навченому на неінфікованих додатках. Дослідники стверджують, що ClickScanner працює менше ніж на 16% часу, який займає найпопулярніша подібна система сканування.

Методика атаки гуманоїдів

Сигнатури шахрайства з кліками зазвичай виявляються за допомогою ідентифікованих шаблонів повторення, малоймовірних контекстів і ряду інших факторів, де механізація очікуваної взаємодії людини з рекламою не відповідає автентичним і більш випадковим шаблонам використання, які виникають у реальних користувачів.

Таким чином, як стверджує дослідження, HA копіює шаблон клацань реальних користувачів із зараженого мобільного додатка Android, щоб підроблені взаємодії з рекламою відповідали загальному профілю користувача, включаючи час активного використання та різні інші ознаки підпису, які вказують на несимуляцію. використання.

Часова схема шахрайства з кліками Humanoid Attack визначається взаємодією користувача. Джерело: https://arxiv.org/pdf/2105.11103.pdf

Здається, HA використовує чотири підходи для імітації кліків: рандомізація координат подій, надісланих до dispatchTouchEvent в Android; рандомізація часу запуску; відстеження реальних кліків користувача; і профілювання шаблонів кліків користувача в коді перед зв’язком із віддаленим сервером, який згодом може надсилати розширені підроблені дії для виконання HA.

Різноманітні підходи

HA реалізується по-різному в окремих програмах, а також досить по-різному в різних категоріях програм, ще більше приховуючи будь-які шаблони, які можна легко виявити за допомогою евристичних методів, або усталених галузевих стандартних продуктів сканування, які очікують більш відомих типів шаблонів.

У звіті зазначено, що HA нерівномірно розподілено між типами додатків, і вказано загальний розподіл за жанрами додатків у магазинах Google і Huawei (зображення нижче).

Атака гуманоїдів має свої переважні цільові сектори та фігурує лише у восьми категоріях із 25 досліджених у звіті. Дослідники припускають, що відмінності в розповсюдженні можуть бути пов’язані з культурними відмінностями у використанні програми. Google Play має найбільшу частку в США та Європі, тоді як Huawei має більшу частку в Китаї. Отже, шаблон зараження Huawei спрямований на книги, Освіта та покупка категорії, а в Google Play Новини, Журнали та Tools категорії постраждали більше.

Дослідники, які наразі спілкуються з постачальниками постраждалих додатків, щоб допомогти усунути проблему, і які отримали підтвердження від Google, стверджують, що Humanoid Attack вже завдала «величезних збитків» рекламодавцям. На момент написання статті та до зв’язку з постачальниками у звіті говориться, що з 157 заражених програм у магазинах Google Play і Huawei лише 39 видалено.

У звіті також зазначається, що Tools Категорія добре представлена ​​на обох ринках і є привабливою територією завдяки незвичайним рівням дозволів, які користувачі готові надати цим типам програм.

Рідний Vs. Розгортання SDK

Серед додатків, ідентифікованих як предмет атаки Humanoid, більшість не використовують пряме впровадження коду, а натомість покладаються на рекламні SDK сторонніх розробників, які, з точки зору програмування, є «вставними» платформами монетизації.

67% інфікованих програм Huawei та 95.2% інфікованих програм Google Play використовують підхід SDK, який з меншою ймовірністю можна виявити за допомогою статичного аналізу чи інших методів, які зосереджені на локальному коді програми, а не на ширшому поведінковому відбитку програми. взаємодія програми з віддаленими ресурсами.

Дослідники порівняли ефективність ClickScanner, який використовує класифікатор на основі варіаційних автокодерів (VAE), з VirusTotal, платформою виявлення, яка об’єднує багато інших платформ, включаючи Kaspersky та McAfee. Дані було завантажено до VirusTotal двічі з інтервалом у шість місяців, щоб уникнути можливих аномальних чи помилкових результатів від VirusTotal.

Згідно з дослідженням, 58 і 57 програм у Google Play і Huawei AppGallery відповідно обійшли можливості виявлення VirusTotal, згідно з якими лише п’ять заражених програм можуть бути виявлені більш ніж 7 механізмами виявлення.

Шкідливі рекламні SDK

У звіті зазначається наявність нерозкритого шкідливого рекламного пакета SDK у 43 досліджених програмах, який має «більший вплив», ніж інші, оскільки він призначений для повторного натискання оголошення, якщо користувач натискає його один раз, змушуючи користувача брати участь у шахрайській діяльності.

У звіті зазначається, що цей шкідливий SDK отримав 270 мільйонів інсталяцій після того, як став доступним через Google Play, і що код GitHub для нього було видалено в листопаді 2020 року. Дослідники припускають, що це могло бути відповіддю на нарощування Google. власні заходи по боротьбі з шахрайством.

Інший SDK, який досяг бази встановлення в 476 мільйонів, «допомагає» користувачам автоматично відтворювати відео, але потім автоматично натискає будь-яку рекламу, яка з’являється, коли відео призупинено.