Za razliku od klasičnih „click-fraud“ malvera, koji se oslanjaju na unaprijed definisane skripte i jednostavne automatizovane radnje, ovi trojanci koriste modele mašinskog učenja za vizuelno prepoznavanje elemenata na ekranu i simuliranje realnog ponašanja korisnika. Drugim riječima, malver više ne pogađa nasumično gdje da klikne, već „gleda“ ekran, prepoznaje dugmad i reklame i ponaša se kao pravi korisnik.
Istraživači navode da napadači koriste TensorFlow.js, Google-ovu open-source biblioteku za pokretanje AI modela u JavaScript okruženju.
Malver se na zaraženom telefonu pokreće u skrivenom režimu, koristeći skriveni ugrađeni pregledač (WebView) u kojem otvara ciljne stranice sa reklamama.
Nakon toga sa udaljenog servera preuzima AI model, pravi snimke ekrana virtuelnog veb pregledača, koristi vještačku inteligenciju da prepozna gdje se nalaze relevantni elementi oglasa, automatski klikće na njih, imitirajući normalnu upotrebu telefona
Ovaj pristup je znatno otporniji od starijih metoda, jer savremeni oglasi stalno mijenjaju izgled, koriste video sadržaj i iframe-ove, što klasične skripte često ne mogu pouzdano da obrade.
U drugom režimu rada, nazvanom „signalling“, malver koristi WebRTC da napadačima šalje video-prenos virtuelnog ekrana. To omogućava napadačima da ručno klikću, skroluju stranice i unose tekst, sve u realnom vremenu, kao da fizički koriste telefon žrtve.
Malver se širi kroz GetApps, zvaničnu prodavnicu aplikacija za Xiaomi uređaje, putem Telegram kanala i Discord servera sa desetinama hiljada pretplatnika.
Malver se najčešće krije u igrama i modifikovanim verzijama popularnih aplikacija, kao što su Spotify, YouTube, Deezer i Netflix.
Napadači često prvo objave „čistu“ verziju aplikacije, a zatim u kasnijem ažuriranju ubace zlonamjerni kod, čime uspijevaju da zaobiđu početne provjere.
Među zaraženim igrama identifikovani su naslovi sa desetinama hiljada preuzimanja, uključujući Theft Auto Mafia, Cute Pet House i Creation Magic World.
Jedan od razloga uspjeha ove kampanje je to što zlonamjerna aktivnost ostaje potpuno skrivena. Klikovi se obavljaju u nevidljivom veb pregledaču, na virtuelnom ekranu, tako da korisnik ne vidi reklame, ne primjećuje klikove i ne dobija nikakva upozorenja. Mnoge zaražene aplikacije zaista rade normalno, tako da ništa ne izgleda sumnjivo.
Click-fraud napadi ne ciljaju direktno krađu podataka ili lozinki, ali predstavljaju unosan izvor prihoda za sajber-kriminalce.
Za korisnike, posljedice su ubrzano pražnjenje baterije, veće opterećenje telefona i brže trošenje hardvera i povećana potrošnja mobilnog interneta
Stručnjaci savjetuju korisnicima da izbjegavaju instalaciju aplikacija van Google Play prodavnice, posebno alternativnih verzija popularnih aplikacija koje obećavaju dodatne funkcije ili besplatan pristup premijum pretplatama, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.