Una iniciativa de investigación de EE. UU., Australia y China identificó una nueva variedad de fraude de clics, denominada “ataque humanoide”, que supera los marcos de detección convencionales y explota las interacciones de los usuarios de la vida real en aplicaciones móviles para generar ingresos a partir de clics falsos en anuncios de marcos de terceros incrustados.
Él papeldirigido por la Universidad Jiao Tong de Shanghái, sostiene que esta nueva variación del fraude de clics ya está ampliamente difundida e identifica 157 aplicaciones infectadas de las 20 000 aplicaciones mejor calificadas en los mercados de aplicaciones de Google Play y Huawei.
Se informa que una aplicación social y de comunicación infectada con HA que se analiza en el estudio tiene 570 millones de descargas. El informe señala que otras cuatro aplicaciones “producidas por la misma empresa tienen códigos de fraude de clics similares”.
Para detectar aplicaciones que cuentan con Humanoid Attack (HA), los investigadores desarrollaron una herramienta llamada ClickScanner, que genera gráficos de dependencia de datos, basados en análisis estáticos, a partir de la inspección a nivel de bytecode de las aplicaciones de Android.
Luego, las características clave de HA se introducen en un vector de características, lo que permite un análisis rápido de aplicaciones en un conjunto de datos entrenado en aplicaciones no infectadas. Los investigadores afirman que ClickScanner funciona en menos del 16% del tiempo que tardan los marcos de escaneo similares más populares.
Metodología de ataque humanoide
Las firmas de fraude de clics generalmente se revelan a través de patrones identificables de repetición, contextos poco probables y una serie de otros factores en los que la mecanización de la interacción humana anticipada con la publicidad no logra coincidir con los patrones de uso auténticos y más aleatorios que ocurren entre los usuarios reales.
Por lo tanto, afirma la investigación, HA copia el patrón de clics de usuarios del mundo real desde una aplicación móvil de Android infectada, de modo que las interacciones de anuncios falsos coincidan con el perfil general del usuario, incluidos los tiempos activos de uso y varias otras características de firma que indican no simulado uso.
El patrón de tiempo del fraude de clics de Humanoid Attack está dictado por la interacción del usuario. Fuente: https://arxiv.org/pdf/2105.11103.pdf
HA parece utilizar cuatro enfoques para simular clics: aleatorizar las coordenadas de los eventos enviados a dispatchTouchEvent en Android; aleatorizar el tiempo de activación; sombreando los clics reales del usuario; y perfilar los patrones de clic del usuario en el código, antes de comunicarse con un servidor remoto, que posteriormente puede enviar acciones falsas mejoradas para que las realice HA.
Enfoques Variados
HA se implementa de manera diferente en las aplicaciones individuales, y también de manera bastante diferente en las categorías de aplicaciones, ofuscando aún más cualquier patrón que pueda detectarse fácilmente mediante métodos heurísticos o productos de escaneo establecidos y estándar de la industria que esperan tipos de patrones más conocidos.
El informe observa que HA no se distribuye uniformemente entre los tipos de aplicaciones y describe la distribución general entre los géneros de aplicaciones en las tiendas de Google y Huawei (imagen a continuación).
Humanoid Attack tiene sus sectores objetivo preferidos y aparece en solo ocho categorías de las 25 estudiadas en el informe. Los investigadores sugieren que las variaciones en la distribución pueden deberse a diferencias culturales en el uso de las aplicaciones. Google Play tiene la mayor participación en los EE. UU. y Europa, mientras que Huawei tiene una mayor participación en China. En consecuencia, el patrón de infección de Huawei apunta a las categorías Libros, Educación y Compras, mientras que en Google Play las categorías Noticias, Revistas y Herramientas se ven más afectadas.
Los investigadores, que actualmente se están comunicando con los proveedores de las aplicaciones afectadas para ayudar a remediar el problema y que han recibido el reconocimiento de Google, sostienen que Humanoid Attack ya ha causado “enormes pérdidas” a los anunciantes. En el momento de redactar el artículo, y antes de ponerse en contacto con los proveedores, el informe indica que de las 157 aplicaciones infectadas en las tiendas de Google Play y Huawei, solo 39 se habían eliminado.
El informe también observa que la categoría Herramientas está bien representada en ambos mercados y es una captación atractiva debido a los niveles inusuales de permisos que los usuarios están dispuestos a otorgar a este tipo de aplicaciones.
Nativo vs. Implementación de SDK
Entre las aplicaciones identificadas como sujetas a Humanoid Attack, la mayoría no utiliza la inyección directa de código, sino que se basa en SDK de anuncios de terceros, que, desde el punto de vista de la programación, son marcos de monetización ‘directos’.
El 67 % de las aplicaciones de Huawei infectadas y el 95,2 % de las aplicaciones de Google Play infectadas aprovechan un enfoque de SDK que es menos probable que se descubra mediante un análisis estático o mediante otros métodos que se concentran en el código local de la aplicación en lugar de la huella digital de comportamiento más amplia de la interacciones de la aplicación con recursos remotos.
Los investigadores compararon la eficacia de ClickScanner, que utiliza un clasificador basado en codificadores automáticos variacionales (VAE), con VirusTotal, una plataforma de detección que integra muchas otras plataformas, incluidas Kaspersky y McAfee. Los datos se subieron a VirusTotal dos veces, con un intervalo de seis meses para descartar posibles resultados anómalos o erróneos de VirusTotal.
58 y 57 aplicaciones en Google Play y Huawei AppGallery, respectivamente, superaron las capacidades de detección de VirusTotal, según la investigación, que también encontró que solo cinco aplicaciones infectadas podían ser detectadas por más de 7 motores de detección.
SDK de anuncios maliciosos
El informe observa la presencia de un SDK de publicidad maliciosa no revelado en 43 aplicaciones estudiadas, que tiene ‘un impacto mayor’ que otros informados, ya que está diseñado para hacer clic en un anuncio por segunda vez si el usuario hace clic en él una vez, lo que obliga al usuario a participar en actividades fraudulentas.
El informe señala que este SDK malicioso logró 270 millones de instalaciones desde que estuvo disponible a través de Google Play, y que el código de GitHub se eliminó en noviembre de 2020. Los investigadores suponen que esto puede haber sido en respuesta a un aumento gradual de Google. propias medidas antifraude.
Otro SDK, que alcanzó una base instalada de 476 millones, ‘ayuda’ a los usuarios a reproducir videos automáticamente, pero luego hace clic automáticamente en los anuncios que aparecen cuando el video está en pausa.