网络安全

人形攻击：通过机器学习识别新形式的点击欺诈

更新 on 2021 年 5 月 26 日

马丁安德森

美国、澳大利亚和中国的一项研究计划发现了一种新的点击欺诈行为，称为“人形攻击”，它可以绕过传统的检测框架，利用移动应用程序中的真实用户交互，通过虚假点击来获取收入。嵌入第三方框架广告。

纸由上海交通大学牵头的研究机构认为，这种新的点击欺诈变体已经广泛传播，并从 Google Play 和华为应用市场上评价最高的 157 个应用程序中识别出了 20,000 个受感染的应用程序。

据报道，研究中讨论的一款受 HA 感染的社交和通讯应用程序的下载量达到 570 亿次。该报告指出，另外四个应用程序 “同一家公司生产的产品表现出相似的点击欺诈代码”.

为了检测具有人形攻击 (HA) 功能的应用程序，研究人员开发了一种名为 ClickScanner 的工具，该工具基于静态分析，从 Android 应用程序的字节码级检查中生成数据依赖图。

然后，HA 的关键特征被输入到特征向量中，从而能够对在未受感染的应用程序上训练的数据集进行快速应用程序分析。研究人员声称，ClickScanner 的运行时间不到最流行的类似扫描框架的 16%。

人形攻击方法论

点击欺诈特征通常是通过可识别的重复模式、不太可能的上下文以及许多其他因素来揭示的，在这些因素中，预期的人机交互与广告的机械化无法匹配真实用户中发生的真实且更随机的使用模式。

因此，研究声称，HA 复制了受感染移动 Android 应用程序的真实用户点击模式，以便虚假广告互动与用户的一般资料相匹配，包括活跃使用时间以及表明非模拟的各种其他签名特征用法。

人形攻击点击欺诈的时间模式由用户交互决定。 资料来源：https://arxiv.org/pdf/2105.11103.pdf

HA 似乎利用四种方法来模拟点击：随机化发送到的事件的坐标 调度触摸事件 在安卓中；随机化触发时间；隐藏用户的真实点击；在与远程服务器通信之前，在代码中分析用户的点击模式，这可能随后发送增强的虚假操作供 HA 执行。

多种方法

HA 在各个应用程序之间的实现方式不同，而且在应用程序类别之间也有很大不同，从而进一步混淆了可能通过启发式方法或需要更知名的模式类型的已建立的行业标准扫描产品轻松检测到的任何模式。

该报告指出，HA 在不同类型的应用程序中分布并不均匀，并概述了谷歌和华为商店中不同应用程序类型的总体分布情况（下图）。

人形攻击有其首选目标领域，并且仅在报告中研究的 25 个类别中的 XNUMX 个类别中具有特征。研究人员认为，分布的差异可能是由于应用程序使用的文化差异造成的。 Google Play 在美国和欧洲的份额最大，而华为在中国的份额更大。因此，华为的感染模式针对的是书籍, 教育和购物类别，而在 Google Play 中新闻, 杂志和工具类别受到的影响更大。

研究人员目前正在与受影响应用程序的供应商进行沟通，以帮助解决该问题，并已收到谷歌的确认，他们认为人形攻击已经给广告商造成了“巨大损失”。在撰写本文时，在与供应商联络之前，报告指出，Google Play 和华为商店中的 157 个受感染应用程序中，只有 39 个尚未被删除。

报告还指出，工具该类别在两个市场中都有很好的代表性，并且由于用户愿意授予这些类型的应用程序不同寻常的权限级别，因此是一个有吸引力的领域。