搜索
查看: 1718|回复: 10
收起左侧

[IT业界] 神秘SDK暗刷百度广告 植入数千款APP

[复制链接]
蓝天二号
发表于 2019-4-23 17:38:58 | 显示全部楼层 |阅读模式
本帖最后由 蓝天二号 于 2019-4-23 18:09 编辑

从腾讯安全了解到,腾讯安全反诈骗实验室追踪到暴风影音、天天看、塔读文学等众多应用中集成的某SDK存在下载恶意子包,通过webview配合js脚本在用户无感知的情况下刷百度广告的恶意操作。
该恶意SDK通过众多应用开发者所开发的正规应用,途经各中应用分发渠道触达千万级用户;其背后的黑产则通过恶意SDK留下的后门控制千万用户,动态下发刷量代码,大量刷广告曝光量和点击量,赚取大量广告费用,给广告主造成了巨额广告费损失。

根据安全人员详细分析,此恶意SDK主要存在以下特点:

1、该SDK被1000+千应用开发者使用,通过应用开发者的分发渠道抵达用户。主要涉及的应用包括掌通家园、暴风影音、天天看、塔读文学等,潜在可能影响上千万用户;

2、刷量子包通过多次下载并加载,并从服务器获取刷量任务,使用webview加载js脚本实现在用户无感知的情况下自动化的进行刷量任务。

此类流量黑产给传统的广告反作弊带来了极大挑战,传统通过IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做’肉鸡’的刷量作弊,使得大量广告费用流入黑产手中,却无法给广告主带来应有的广告效果。

SDK作恶流程和影响范围

此恶意SDK集成在应用中的那部分代码没有提供实际功能,其在被调用后会定时上报设备相关信息,获取动态子包的下载链接,下载子包并加载调用。然后由子包执行相应的恶意行为。

恶意SDK作恶流程示意图:
S56647b54-c4e6-46a3-887c-f872bc265ae6.png
受恶意SDK影响的主要应用列表:
See6eae8b-24f6-442c-8b41-e0d659cc46a6.jpg
恶意SDK作恶行为详细分析

此恶意SDK被众多的中小应用开发者集成,我们以应用塔读文学为例,对其恶意行为进行详细分析
d70352e1-7c2e-43d8-94cd-bb700cf1f95f.png
恶意SDK代码结构
c3faad34-a68c-46b3-949f-7bf047e7578a.jpg
此sdk代码较少,没有什么实际的功能。其在被加载调用后,会设置定时任务,每隔3600秒(1小时)启动GatherService,上报设备相关信息,获取动态子包__gather_impl.jar的下载链接
S7ebbe3e7-471a-489c-8b0d-278eb5c447fc.png
GatherService链接服务器,获取__gather_impl.jar的下载链接
S24b31cfb-4af4-44e4-ae5d-b66e689a5cc0.png
请求链接:http://gather.andr****.com:5080/gupdate/v1
请求数据:包括uid、应用包名、设备id、应用版本、手机厂商、型号、系统版本、imei、sdk版本等内容
S61848f55-f0ba-4f09-b93a-e62c0af42ebf.png
返回内容:包括子包的版本、下载url、文件md5
S7bfa4fdc-cceb-4562-bf86-4110e0498083.png
动态加载下载的__gather_impl.jar
Scc8ee312-3284-45cf-ba31-f670e31a2587.png
子包__gather_impl.jar代码结构,此子包的主要功能有:1、上传用户设备信息,2、下载并动态加载子包stat-impl.jar
272a2dcd-e2ed-4e6c-a8b2-12b88f9652e2.png
1)、链接服务器,上传用户设备信息
S6194aaa3-f850-4400-82cf-6fde37e3eef4.png
服务器链接:http://userdata.andr****.com/userdata/userdata.php (此url在分析时已失效,无法链接)

上报内容:包括位置信息(经纬度),用户安装列表(软件名、包名),设备信息(厂商、型号、fingerprint,是否root),deviceid、手机号、运营商、imei、mac等。
Sb1aeaa6b-1128-494c-a385-f073967ab7d1.png
2)、再次请求服务器,获取stat-impl.jar的下载链接
Sf5ff37f6-2459-448b-8dda-badc1287e23e.png
请求链接:http://iupd.andr****.com:6880/wupdate/v1
请求数据:包括uid、imei、sdk版本、手机厂商、型号、系统版本、应用包名、设备id、设备指令集等内容
20190423173921-S84f0db34-9835-4116-ba43-5fcbb132ad3e.png
返回内容:包括子包的版本、下载url、文件md5

S8ae8394f-ca67-4b73-b5ac-bbd2622791b2.png
子包下载完成后,调用native方法动态加载此子包
Sd7cef244-6428-41b9-ac68-b45307e55693.png
1ae54721-ca89-4f67-ada4-e73df4e3a0fe.png
4cbcbc91-8e41-4bc4-8e94-bf603ab341af.png
S3fc93e36-4d20-48b3-a231-3c043c88a724.png
stat-impl.jar的代码结构:
20190423180801-3cc9fc4d-ac83-44d4-994c-c59900546e4b.png
stat-impl.jar子包被加载后,线程com.drudge.rmt.g会被启动,其作用主要是用来联网获取刷量任务,并调度任务的执行。
bae06d9a-7c85-483f-a213-07e56933c8ef.png 主要的刷量任务包括:1、刷百度搜索的关键字,2、使用js脚本实现自动点击、滑动来刷百度广告和亿量广告的点击,3、使用webview刷网页访问。
1、刷百度关键字搜索
此任务会根据获取json字符串,进行相应的操作,包括设置BAIDUID、更新配置、添加任务、设置剪切板和使用关键字刷百度搜索
a545c8bf-66d6-4a39-8055-52a1e9226a16.png
设置关键字,使用webview加载对应的url
S383d7b94-ef0d-4cb3-9201-15196cf37825.png
捕获到的刷百度关键字的webview加载请求:
Sbf0d48d0-59f1-4c01-b4cf-61c1d5362fa6.png
链接服务器http://tw.andr****.com:6080/wtask/v1获取相关任务,并将任务内容存入[package]/cache/volley目录下
S72d2fc99-f9b6-41a2-a819-a2b44f5ae87c.png
Sc99190b8-f4da-4d20-8eed-30764bd25b0e.png
Scc163b22-df1d-4f53-9eec-f86758c88d28.png
2、使用js脚本刷百度广告
使用webview加载http://mobads.baidu.com/ads/index.htm,并在加载完成后执行js脚本实现自动滑动、点击、保存等操作来自动刷广告
S50355a48-4db5-4065-8d9f-692fc9d1e432.png
相关的js脚本
1)、js函数定义滑动、点击、保存等操作
S12aa01d0-6ee7-4572-ac17-a5682b75a054.png
Java层解析并实现js层传递过来的操作命令
839a65ff-292f-452a-86ce-b764a23e67f6.png
2)、js函数判断并获取页面元素
S7de60025-3628-430e-9e50-55f5f3fc0d64.png
Sbc8d6e45-6fac-4174-a005-4bd2b9e5584c.png
3)、js函数计算页面元素相对位置,并进行滑动、点击操作
S4e7b3f32-7a1f-4e63-b27c-d56cd2d927c4.png
...
捕获到的刷百度广告的webview加载请求:

S3b42dba5-04fb-4327-9b04-c735e6ce0c1b.png
3、使用webview刷网页访问
此任务向服务器请求需要访问的url链接,在获取到相应的网页url后,使用webview加载进行访问。
请求需要访问的url链接
11bf11f2-a69f-4926-ae32-a8e90f101c99.png
请求链接
http://us.yiqimeng.men:8080/geturls?k=beike-xinshiye&c=5
返回内容
["http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm%2FQqzCVcw2dvukMqw25Q%3D%3Du0026_t=1511190410",
"http://m.xinshiye.cc/cars/17/10/11/234818.html?content_id=234818u0026key=NzLZyHQXsCdpS6bkAWab2LSzd2XApbGOJYUuN%2Bm4PFsoWk1l%2FnZSD8M1yp1cuhz%2FdL0uoNG93TVt8ai6zEU%2BQw%3D%3Du0026_t=1511190560",
"http://m.xinshiye.cc/cars/17/11/26/1769446.html?content_id=1769446u0026key=8KLxL1fm2gwNDxqT6nsSAbQ07kcEZRHBrekhzNSJcNaAg1nZmbW49pQ3EaEYJfMUeMlwSX4KzdliXJ3O37fs9g%3D%3Du0026_t=1513046929",
"http://m.xinshiye.cc/cars/17/10/31/1444661.html?content_id=1444661u0026key=mODVhDy0zyzBGH1G6sTwDYXqiy3D7pDfymsirda6s5%2BW8tarfIDPjuhT3mkqeMMDKzKr%2BFVC2Py2gzsNkMniHw%3D%3Du0026_t=1509589907",
"http://m.xinshiye.cc/cars/17/12/09/1921549.html?content_id=1921549u0026key=0XFxkCX0Bn4k%2Fw5%2FqvlSIOCREqEWoJ5jimqn%2BZAeJIwksQzydyT0AZFAVZJAritm3hpGza4TFNlONZDtoY%2BfTA%3D%3Du0026_t=1513045278"]
使用webview访问获取url
25ae4b8d-527c-407f-b2e9-7a0d957bf2b2.png
捕获到的刷求医不如健身网的webview加载请求:
Sdefb5af7-cb38-4cff-8c3d-db7e12ac79df.png
相关URL整理
S60e1610e-c1d5-45aa-8315-3ffe83bb2471.png
安全建议和防范手段

从近期Android端恶意应用的作恶手法来看,恶意开发者更多地从直接开发App应用转向开发SDK,向Android应用供应链的上游转移。通过提供恶意的SDK给应用开发者,恶意开发者可以复用这些应用的分发渠道,十分有效的扩大影响用户的范围。

而在恶意SDK的类别方面,黑产从业者主要把精力放在用户无感知的广告刷量和网站刷量等方向,通过使用代码分离和动态代码加载技术,可以完全从云端下发实际执行的代码,控制用户设备作为“肉鸡”进行广告、网站刷量等黑产行为,具有很强的隐蔽性。

这类流量型黑产逐渐增多,不仅对手机用户造成了危害,同时也给移动端广告反作弊带来了很大的挑战,传统基于IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做’肉鸡’的刷量作弊,难以保障应用开发者和广告主的正当权益。

针对终端用户,有如下安全建议:

1、尽可能使用正版和官方应用市场提供的APP应用;
2、移动设备即使进行安全更新;
3、安装手机管家等安全软件,实时进行防护。
s_a94bc67bccd845d89458564fa2111ead.jpg


夜神_悦
发表于 2019-4-23 20:04:27 | 显示全部楼层
中小开发者的应用(包括灰色/黑色地带的APP)用户量有限,肯定谋求单用户的高收益,广告SDK肯定倾向于灰色地带
后台刷广告对于APP用户倒是害处不大,除了浪费点流量,浪费手机性能
广告主/广告平台倒是需要关注这类东西
爱卡会员
发表于 2019-4-23 22:27:13 | 显示全部楼层
恶意涮广告并植入app应该触及到互联网安全红线了吧
abenma
发表于 2019-4-23 23:16:55 | 显示全部楼层
这也太猖狂了吧
zns3111
发表于 2019-4-24 08:47:36 | 显示全部楼层
刷百度广告?不是百度干的吧?
仙圣
发表于 2019-4-24 08:58:01 | 显示全部楼层
夜神_悦 发表于 2019-4-23 20:04
中小开发者的应用(包括灰色/黑色地带的APP)用户量有限,肯定谋求单用户的高收益,广告SDK肯定倾向于灰色 ...

这个SDK不止刷广告,还刷搜索排名。。。
xndd
发表于 2019-4-24 09:12:21 | 显示全部楼层
厉害 只能说厉害啊
kuqiao
发表于 2019-4-24 09:39:56 | 显示全部楼层
以上应用没有接触过   除了国产单独上架的app以后酷安都慢慢放弃了  去Google play上下载吧
chaofengxn
发表于 2019-4-24 19:57:54 | 显示全部楼层
黑产越来越精明了啊!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-8-17 19:13 , Processed in 0.062563 second(s), 8 queries , MemCache On.

快速回复 返回顶部 返回列表