Como o xVigil do CloudSEK detecta aplicativos falsos e desonestos

Monitoramento da marca é um dos serviços premium oferecidos pela principal plataforma digital de monitoramento de risco da CloudSEK — XV Vigília. Essa funcionalidade abrange uma ampla variedade de casos de uso, como:

• Monitoramento de domínios falsos
• Detecção de aplicativos desonestos/falsos
• Monitoramento VIP

Os agentes de ameaças implantam aplicativos falsos ou desonestos que se disfarçam de aplicativos oficiais, violando a marca registrada e o material protegido por direitos autorais de nossos clientes. Ao ver a marca registrada familiar de nosso cliente, seus clientes são induzidos a instalar esses aplicativos em seus dispositivos, executando um código malicioso que permite que os agentes de ameaças extraiam dados. Só neste ano, a XVIigil relatou e alertou nossos clientes sobre mais de 2,4 lakh de aplicativos falsos de várias lojas de aplicativos terceirizadas.

Classificação por meio de pontuação de similaridade

A classificação dessas ameaças constitui uma parte importante da estrutura de monitoramento de ameaças da XVIigil. A plataforma identifica e classifica o aplicativo como falso ou malicioso com base no fato de ele se passar por aplicativos de nossos clientes ou se os arquivos APK enviados são diferentes dos APKs oficiais de nosso cliente.

Para qualquer problema de aprendizado de máquina, você precisa de dados de treinamento, onde você espera que seus dados de teste sejam semelhantes aos dados de treinamento. Nesse caso, no entanto, os dados são diferentes para cada cliente e você precisaria de um modelo separado para cada novo cliente.

Abordamos o problema como um problema de pontuação de similaridade. Comparamos o aplicativo suspeito com todos os aplicativos oficiais do cliente e vemos como o aplicativo suspeito é semelhante ao aplicativo oficial em termos de título, descrição, capturas de tela fornecidas, logotipos etc. Aqui, surge uma preocupação maior quando não temos todas as informações relacionadas ao cliente, para compará-lo com o aplicativo suspeito.

Módulo de extração de conhecimento do CloudSEK

Para reunir mais informações sobre o cliente, construímos um módulo de extração de conhecimento. Quando um novo cliente se inscreve, esse módulo é acionado e tenta coletar todas as informações possíveis sobre o cliente. O módulo de extração de conhecimento foi construído como um módulo genérico que tenta obter todas as informações possíveis sobre o cliente. O nome do cliente e seu domínio principal são as únicas entradas necessárias para o processo.

Com esses detalhes, o módulo de extração de conhecimento pode identificar o setor em que nosso cliente opera, seus diversos produtos e serviços, os concorrentes do cliente, as principais tecnologias com as quais o cliente trabalha, seus aplicativos oficiais e assim por diante. Esses detalhes são obtidos na Google Play Store ou rastreando e analisando o site do cliente, várias listas de empregos publicadas pelos próprios clientes etc. As informações coletadas são então passadas por modelos personalizados de reconhecimento de entidades nomeadas (NER) ou regras estáticas para obter os detalhes do cliente de forma estruturada.

Quando monitoramos aplicativos maliciosos, executamos um modelo de semelhança de texto/imagem nas informações coletadas (logotipo do cliente, aplicativo oficial, concorrentes etc.) e nas informações presentes no aplicativo suspeito. Por exemplo, a semelhança de texto verifica a semelhança contextual entre a descrição do aplicativo do cliente e a do aplicativo suspeito. Outro módulo tenta descobrir se os logotipos do cliente aparecem nas capturas de tela fornecidas no aplicativo malicioso. As diferentes pontuações são então resumidas para recomendar uma partitura de conjunto.

Finalmente...

Se a pontuação de similaridade for maior que um determinado limite, podemos dizer com segurança que o aplicativo se parece com a marca/aplicativo do nosso cliente. Agora, precisamos verificar se o APK enviado é um APK modificado ou o próprio APK do cliente original. O único desafio aqui é manter os APKs lançados pelo cliente, para toda e qualquer versão de seus aplicativos, para todos os dispositivos/regiões. Para contornar esse problema, comparamos o certificado do aplicativo suspeito com os certificados presentes no aplicativo oficial do cliente presente na Google Play Store. Isso remove todos os APKs dos aplicativos dos desenvolvedores oficiais do cliente. Isso nos deixa com aplicativos maliciosos, que são então reportados aos nossos clientes.