Egy új, androidos kattintásos csalásra specializálódott trójai kártevőcsalád jelent meg, amely a TensorFlow gépi tanulási modelleket használja arra, hogy automatikusan felismerje és interakcióba lépjen a konkrét hirdetési elemekkel. A technika lényege, hogy a hagyományos, előre definiált JavaScript-alapú kattintási megoldások helyett vizuális elemzésen alapuló gépi tanulást alkalmaz, és nem a klasszikus click-fraud trójaiaknál megszokott, Document Object Model-szintű, szkriptvezérelt interakciókra támaszkodik.
A támadók a Google által fejlesztett, nyílt forráskódú TensorFlow.js könyvtárat használják, ami gépi tanulási modellek betanítását és futtatását teszi lehetővé JavaScript környezetben, akár böngészőben, akár Node.js-alapú szervereken. Ennek köszönhetően a kártékony logika rugalmasan és hatékonyan integrálható az alkalmazásokba.
A Dr.Web mobilbiztonsági vállalat kutatói megállapították, hogy ez az új Android-trójai család elsődlegesen a Xiaomi hivatalos alkalmazásboltján, a GetApps-en keresztül terjed. A kártevő képes úgynevezett „phantom” módban működni, amely során egy rejtett, WebView-alapú beágyazott böngészőt használ. Ez a láthatatlan böngésző betölti a kattintásos csalás céloldalát, valamint egy JavaScript-fájlt, amely az oldalon megjelenő hirdetések automatizált kezeléséért felel.
Miután a trójai letölti a betanított gépi tanulási modellt egy távoli szerverről, a rejtett böngészőt egy virtuális képernyőre helyezi. Erről rendszeresen képernyőképeket készít, amelyeket a TensorFlow.js elemez annak érdekében, hogy azonosítsa a releváns felhasználói felületi elemeket. Amikor a kártevő „megérinti” a megfelelő UI-elemet, a művelet egy valós felhasználó interakcióját utánozza. Ez a módszer különösen hatékony és ellenálló a modern hirdetési megoldásokkal szemben, mivel a hirdetések többsége dinamikus, gyakran változik a felépítésük, és sok esetben iframe-eket vagy videós tartalmakat is használnak.
A kártevő egy másik működési módja az úgynevezett „signalling”, ami WebRTC-technológiát alkalmaz. Ebben az esetben a virtuális böngésző képernyőjéről élő videóstreamet továbbítanak a támadóknak, akik így valós időben hajthatnak végre műveleteket, például érintést, görgetést vagy szövegbevitelt.
A kiberbűnözők játékokba ágyazva juttatják el a malware-t a felhasználókhoz, elsődlegesen a Xiaomi GetApps kínálatán keresztül. Az alkalmazásokat kezdetben ártalmatlan formában töltik fel, majd egy későbbi frissítés során kapják meg a rosszindulatú komponenseket. A Dr.Web által azonosított fertőzött játékok között szerepel többek között a Theft Auto Mafia, a Cute Pet House, a Creation Magic World, az Amazing Unicorn Party, az Open World Gangsters és a Sakura Dream Academy, eltérő, több ezres vagy tízezres letöltésszámmal.
A trójaiak a Xiaomi platformján kívül harmadik féltől származó APK-oldalakon is terjednek, például az Apkmody és a Moddroid felületein. Ezek jellemzően népszerű alkalmazások (mint a Spotify, a YouTube, a Deezer vagy a Netflix) módosított változatait kínálják letöltésre. A kutatók szerint a Moddroid „Editor’s Choice” oldalán szereplő alkalmazások többsége fertőzött.
A kutatók azt is kiemelik, hogy ezek közül az alkalmazások közül több valóban működik, ami jelentősen csökkenti a felhasználók gyanakvását. Mivel a kattintás rejtve, egy láthatatlan WebView-ben, virtuális képernyőn történik, az áldozatok semmilyen közvetlen jelét nem látják a rosszindulatú tevékenységnek az akkumulátor gyorsabb merülésén és sok számítási erőforrást igénylő műveletek esetén esetleges teljesítményromláson kívül.
Bár a kattintásos és hirdetési csalás nem jelent közvetlen fenyegetést a felhasználók személyes adataira vagy magánszférájára, a kiberbűnözők számára rendkívül jövedelmező tevékenység. A felhasználók oldaláról a legkézzelfoghatóbb következmény az akkumulátor fokozott merülése és gyorsabb elhasználódása, valamint a megnövekedett mobiladat-forgalom miatti többletköltség.
Az Android-felhasználóknak ezért kifejezetten ajánlott az alkalmazások Google Play-en kívülről történő telepítésének elkerülése.