- Androidトロイの木馬がTensorFlow AIを使い、人間の広告クリックを模倣して不正を行う
- GetAppsなどのプラットフォーム上の偽アプリが、隠しブラウザ付きのマルウェアを拡散
- 少なくとも6つのアプリが見つかり、合計で15万5,000回以上ダウンロード
サイバー犯罪者はどうやら、人工知能(AI)を広告不正に利用する方法を見つけ、従来の行動ベースの防御を欺いて、広告ネットワークや広告主から金銭をだまし取ることに成功しているようです。
広告ネットワークや広告主は、とりわけ人々が広告をクリックしたときに収益を得ます。オンライン広告の黎明期から、犯罪者はクリックを自動化して大量の広告表示を生み出し、その対価として報酬を得る方法を探してきました。
偽のクリックはプログラム化・自動化するしかないため、広告ネットワークは防御策として行動分析に頼るようになりました。クリックが速すぎる、ランダム性が足りない、あるいは似通っているなどの場合、それらは偽として排除されます。一部のウェブサイトでは、広告が動的に異なる場所に表示され、自動クリックを防いでいました。
不正を支える偽アプリ
ところが今回、新たに発見されたAndroidトロイの木馬は、TensorFlowの機械学習モデルを用いて広告を検出し、人間の行動をよりうまく模倣する形でクリックしています。
あらかじめ定義されたJavaScriptのルーチンではなく、新しい仕組みは機械学習による視覚解析のみに依存しています。JavaScriptで機械学習モデルの学習とデプロイを行うオープンソースライブラリであるTensorFlow.jsを利用することで、犯罪者はブラウザ内、あるいはNode.jsを使ってサーバー上でAIモデルを実行できます。
マルウェアを被害者のAndroid端末に届けるため、犯罪者は多数の偽アプリを作成し、Xiaomiの公式アプリリポジトリであるGetAppsに掲載することに成功しました。研究者はまた、これらのアプリが多数の独立系ウェブサイト、ソーシャルメディアプラットフォーム、そしてTelegramのようなインスタントメッセージングチャンネルでも見つかったとしています。
これらのアプリは「phantom(ファントム)」と呼ばれるモードで動作し、広告が読み込まれる隠し埋め込みブラウザを使用します。このブラウザは仮想スクリーン上に配置され、スクリーンショットがTensorFlowに共有されて、広告がどこにあるかを解析・特定します。
その結果、UI要素のタップがより自然に見え、従来の行動ベースの防御を欺くことができます。
また、このマルウェアは仮想ブラウザ画面を攻撃者に直接ライブ配信でき、攻撃者が自由にタップ、スクロール、コマンド入力を行えるようにするとも言われています。
これまでに少なくとも6つのアプリが見つかっており、累計で15万5,000回以上ダウンロードされています。
