Un’iniziativa di ricerca degli Stati Uniti, dell’Australia e della Cina ha identificato un nuovo ceppo di frodi sui clic, soprannominato “Humanoid Attack”, che supera i framework di rilevamento convenzionali e sfrutta le interazioni degli utenti nella vita reale nelle app mobili per generare entrate dai clic falsi su annunci di framework di terze parti incorporati.
Il documento , guidato dalla Shanghai Jiao Tong University, sostiene che questa nuova variazione sulla frode dei clic è già ampiamente diffusa e identifica 157 app infette tra le 20.000 app più votate nei mercati delle app di Google Play e Huawei.
Si dice che un’app social e di comunicazione infetta da HA discussa nello studio abbia 570 milioni di download. Il rapporto rileva che altre quattro app “prodotte dalla stessa azienda risultano avere codici fraudolenti sui clic simili” .
Per rilevare le app che presentano Humanoid Attack (HA), i ricercatori hanno sviluppato uno strumento chiamato ClickScanner, che genera grafici di dipendenza dei dati, basati su analisi statiche, dall’ispezione a livello di bytecode delle app Android.
Le funzionalità chiave di HA vengono quindi inserite in un vettore di funzionalità, consentendo un’analisi rapida delle app su un set di dati addestrato su app non infette. I ricercatori affermano che ClickScanner funziona in meno del 16% del tempo impiegato dai framework di scansione simili più popolari.
Metodologia di attacco umanoide
Le firme di click fraud vengono in genere rivelate attraverso schemi identificabili di ripetizione, contesti improbabili e una serie di altri fattori in cui la meccanizzazione dell’interazione umana anticipata con la pubblicità non riesce a corrispondere ai modelli di utilizzo autentici e più casuali che si verificano tra gli utenti reali.
Pertanto, afferma la ricerca, HA copia il modello dei clic degli utenti del mondo reale da un’app mobile Android infetta, in modo che le interazioni con annunci falsi corrispondano al profilo generale dell’utente, inclusi i tempi di utilizzo attivi e varie altre caratteristiche distintive che indicano utilizzo.
Il modello temporale delle frodi sui clic degli attacchi umanoidi è dettato dall’interazione dell’utente. Fonte: https://arxiv.org/pdf/2105.11103.pdf
HA sembra utilizzare quattro approcci per simulare i clic: randomizzare le coordinate degli eventi inviati a dispatchTouchEvent in Android; randomizzare il tempo di attivazione; ombreggiare i clic reali dell’utente; e profilare i modelli di clic dell’utente nel codice, prima di comunicare con un server remoto, che potrebbe successivamente inviare azioni false avanzate per l’esecuzione di HA.
Approcci vari
HA viene implementato in modo diverso tra le singole app e anche in modo abbastanza diverso tra le categorie di app, offuscando ulteriormente qualsiasi modello che potrebbe essere facilmente rilevabile con metodi euristici o prodotti di scansione standard del settore che si aspettano tipi di pattern più noti.
Il rapporto osserva che HA non è distribuito uniformemente tra i tipi di app e delinea la distribuzione generale tra i generi di app negli store Google e Huawei (immagine sotto).
Humanoid Attack ha i suoi settori di destinazione preferiti e compare solo in otto categorie delle 25 studiate nel rapporto. I ricercatori suggeriscono che le variazioni nella distribuzione potrebbero essere dovute a differenze culturali nell’utilizzo delle app. Google Play ha la quota maggiore negli Stati Uniti e in Europa, mentre Huawei ha una maggiore presa sulla Cina. Di conseguenza, il modello di infezione da Huawei colpisce le categorie Libri , Istruzione e Shopping , mentre in Google Play le categorie Notizie , Riviste e Strumenti sono più colpite.
I ricercatori, che stanno attualmente comunicando con i fornitori delle app interessate per aiutare a risolvere il problema, e che hanno ricevuto il riconoscimento da Google, sostengono che l’attacco umanoide ha già causato “enormi perdite” agli inserzionisti. Al momento della stesura del documento, e prima di mettersi in contatto con i fornitori, il rapporto afferma che delle 157 app infette negli store Google Play e Huawei, solo 39 erano state rimosse.
Il rapporto osserva inoltre che la categoria Strumenti è ben rappresentata in entrambi i mercati ed è un bacino di utenza attraente a causa degli insoliti livelli di autorizzazioni che gli utenti sono disposti a concedere a questi tipi di app.
Native vs. Distribuzione SDK
Tra le app identificate come soggette ad Humanoid Attack, la maggioranza non utilizza l’iniezione diretta di codice, ma si affida invece ad SDK di annunci di terze parti, che, dal punto di vista della programmazione, sono framework di monetizzazione “drop in”.
Il 67% delle app Huawei infette e il 95,2% delle app Google Play infette sfruttano un approccio SDK che è meno probabile che venga scoperto dall’analisi statica o da altri metodi che si concentrano sul codice locale dell’app piuttosto che sull’impronta digitale comportamentale più ampia del interazioni dell’app con risorse remote.
I ricercatori hanno confrontato l’efficacia di ClickScanner, che utilizza un classificatore basato su Variational Autoencoders (VAE), con VirusTotal, una piattaforma di rilevamento che integra molte altre piattaforme, tra cui Kaspersky e McAfee. I dati sono stati caricati su VirusTotal due volte, con un intervallo di sei mesi per escludere possibili risultati anomali o errati da VirusTotal.
58 e 57 app in Google Play e Huawei AppGallery, rispettivamente, hanno aggirato le capacità di rilevamento di VirusTotal, secondo la ricerca, che ha anche scoperto che solo cinque app infette potevano essere rilevate da più di 7 motori di rilevamento.
SDK annunci dannosi
Il rapporto osserva la presenza di un SDK pubblicitario dannoso non divulgato in 43 app studiate, che ha “ un impatto maggiore ” rispetto ad altre segnalate, poiché è progettato per fare clic su un annuncio una seconda volta se l’utente fa clic su di esso una volta, costringendolo a partecipare ad attività fraudolente.
Il rapporto rileva che questo SDK dannoso ha raggiunto 270 milioni di installazioni da quando è stato reso disponibile tramite Google Play e che il codice GitHub è stato eliminato nel novembre del 2020. I ricercatori ipotizzano che ciò potrebbe essere stato in risposta a un aumento di Google proprie misure antifrode.
Un altro SDK, che ha raggiunto una base di installazione di 476 milioni, “aiuta” gli utenti a riprodurre automaticamente i video, ma poi fa clic automaticamente su qualsiasi annuncio visualizzato quando il video viene messo in pausa.