Descubrimiento de una metodología de fraude innovadora
Un esfuerzo de investigación entre EE. UU., Australia y China ha desvelado una novedosa modalidad de fraude publicitario en línea, apodada «ataque humanoide», que evade los mecanismos convencionales de detección. Esta sofisticada metodología se beneficia de las interacciones reales de los usuarios en aplicaciones móviles para generar ingresos a partir de clics ilegítimos en anuncios incrustados por terceros.
El estudio liderado por la Universidad Jiao Tong de Shanghai, argumenta que esta variante de fraude publicitario ya está ampliamente difundida, y descubre 157 aplicaciones contaminadas entre las 20.000 mejor valoradas en las tiendas de aplicaciones de Google Play y Huawei.
De acuerdo con el informe, una aplicación de comunicación social infectada con el «ataque humanoide» analizada en la investigación se ha descargado 570 millones de veces. Se establece además que cuatro aplicaciones adicionales, producidas por el mismo desarrollador, contienen códigos de fraude similares.
Detectando el Ataque Humanoide con ClickScanner
Para identificar aplicaciones susceptibles de experimentar el Ataque Humanoide (HA), los investigadores crearon una herramienta denominada ClickScanner, que genera gráficos de dependencia de datos, basados en análisis estáticos, tras la inspección a nivel de código de bytes de las aplicaciones Android.
Posteriormente, las características distintivas de HA se integran en un vector de características, permitiendo un rápido análisis de la aplicación en un conjunto de datos entrenado con aplicaciones no infectadas. Según los investigadores, ClickScanner funciona en menos del 16% del tiempo que toman los populares sistemas de escaneo similares.
Comportamiento del Ataque Humanoide
Normalmente, las técnicas de fraudes publicitarios se desvelan a través de patrones identificables de repetición, contextos inverosímiles y una serie de otros factores, en los cuales la mecanización de la interacción humana con la publicidad no logra emular el uso auténtico y aleatorio que ocurre entre los usuarios reales.
Por lo tanto, según la investigación, el HA reproduce el patrón de clics de los usuarios reales desde una aplicación móvil Android contaminada, de manera que las interacciones con anuncios fraudulentos se asemejan al perfil general del usuario, incluyendo los tiempos de uso activo y varias otras características indicativas que señalizan que el uso no es simulado.
El HA emplea cuatro estrategias para emular clics: aleatoriza las coordenadas de los eventos enviados a despachoTouchEvent en Android; aleatoriza el tiempo de activación; sigue los clics reales del usuario; y perfila los patrones de clics del usuario, antes de comunicarse con un servidor en la nube, que a posteriori puede enviar acciones fraudulentas mejoradas para que sean ejecutadas por HA.
Implementaciones Diversas
El HA se implementa de diferentes maneras en aplicaciones individuales y de forma muy variada en categorías de aplicaciones, oscureciendo aún más cualquier patrón que pueda ser fácilmente detectable a través de métodos heurísticos o productos de escaneo estándar arraigados en la industria que buscan tipos de patrones más conocidos.
El informe señala que HA no se distribuye de manera uniforme entre las categorías de aplicaciones y describe la distribución en general entre los géneros de aplicaciones en las tiendas de Google y Huawei.
Construcción Nativa vs Implementación de SDK
Entre las aplicaciones identificadas como propensas al ataque humanoide, la mayoría no emplea la inyección directa de código, sino que depende de los SDK publicitarios de terceros, que, desde el punto de vista del desarrollo, son marcos de monetización «empotrables».
El 67% de las aplicaciones infectadas de Huawei y el 95,2% de las aplicaciones afectadas de Google Play aprovechan un enfoque de SDK que es menos probable que se encuentre mediante análisis estático u otros métodos que se centran en el código local de la aplicación en lugar de en la huella digital de comportamiento más amplia de las interacciones de la aplicación con recursos en la nube.
Existencia de SDK de anuncios maliciosos
El informe detecta la presencia de un malicioso e inédito SDK de publicidad en 43 de las aplicaciones examinadas, que tiene «mayor impacto» que otras registradas, dado que está diseñado para hacer clic en un anuncio por segunda vez si el usuario hace clic en él una vez, forzando al usuario a participar en actividades fraudulentas.
LEE MÁS ARTÍCULOS SOBRE: Seguridad con IA.
LEE LA ENTRADA ANTERIOR: Las políticas de inmigración preocupan mucho a investigadores de IA.