新型安卓恶意软件利用人工智能技术点击隐藏的浏览器广告
一种新型的安卓点击欺诈木马利用 TensorFlow 机器学习模型自动检测特定广告元素并与之交互。该机制依赖于基于机器学习的视觉分析,而不是预定义的 JavaScript 点击例程,并且不涉及像经典点击欺诈木马那样的基于脚本的 DOM 级交互。攻击者正在使用 TensorFlow.js,这是一个由谷歌开发的开源库,用于在 JavaScript 中训练和部署机器学习模型。它允许在浏览器或使用 Node.js 的服务器上运行 AI 模型。移动安全公司 Dr.Web 的研究人员发现,这种新型 Android 木马病毒是通过小米设备的官方应用商店 GetApps 进行传播的。他们发现,这种恶意软件可以以一种名为“幻影”的模式运行,该模式使用一个隐藏的、基于WebView的嵌入式浏览器来加载目标页面(用于点击欺诈)和一个JavaScript文件。该脚本的目的是自动执行加载网站上显示的广告操作。从远程服务器加载训练好的模型后,将隐藏的浏览器放置在虚拟屏幕上,并截取屏幕截图供 TensorFlow.js 分析和识别相关元素。通过点击正确的用户界面元素,恶意软件可以模拟用户的正常操作。这种方法更有效,也更能抵御现代广告的多样化变化,因为大多数广告都是动态的,结构经常变化,而且通常使用 iframe 或视频。第二种模式称为“信号传递”,它使用 WebRTC 将虚拟浏览器屏幕的实时视频流传输给攻击者,使他们能够执行点击、滚动和输入文本等实时操作。攻击者通过小米的GetApps软件目录,将恶意软件植入游戏中进行传播。这些应用最初提交时并不包含恶意功能,而是在后续更新中添加了恶意组件。Doctor Web 识别出的部分受感染游戏包括:除了小米自家的应用程序外,这些木马程序还通过第三方 APK 网站(例如 Apkmody 和 Moddroid)分发,这些网站提供的是 Spotify、YouTube、Deezer 和 Netflix 等应用程序的修改版本,也就是所谓的 mod。研究人员表示 ,Moddroid“编辑精选”页面上的大多数应用程序都已被感染。受感染的 APK 文件也会通过 Telegram 频道传播,一些应用程序示例包括 Spotify Pro、Spotify Plus – Official、Moddroid.com 和 Apkmody Chat。Dr.Web 还发现了一个拥有 24,000 名订阅者的 Discord 服务器,该服务器正在推送一个名为 Spotify X 的受感染应用程序。研究人员指出,至少部分此类应用“确实有效”,这降低了用户的怀疑。再加上点击欺诈是在隐藏的 WebView 中秘密执行的,该 WebView 会在虚拟屏幕上渲染内容,这意味着受害者不会察觉到任何恶意活动的迹象。虽然点击劫持和广告欺诈不会立即威胁到用户的隐私和数据安全,但它们却是利润丰厚的网络犯罪活动。对用户的直接影响包括电池电量快速消耗、设备过早老化以及移动数据流量费用增加。建议安卓用户避免在 Google Play 商店之外安装应用,尤其是那些承诺提供额外功能或免费高级订阅服务的热门应用的替代版本。
10个月宝宝每天需要喝多少奶粉?
