Exclusive | SDK placement myst�rieux produit Baidu brosse noire des milliers de APP

22 avril Lei s�curit� r�seau Feng a appris de Tencent, Tencent laboratoire de s�curit� anti-fraude pour suivre STORM, g�rer tous les jours, la lecture de la tour il y a un certain nombre d'applications � t�l�charger sous-paquet malveillant litt�rature int�gr� un SDK, par WebView avec script js Baidu brosse publicit� sans la perception de l'utilisateur des actions non malveillants.

Le SDK malveillant par l'application formelle de nombreux d�veloppeurs d'applications ont mis au point, chaque application via des canaux de distribution Retouches dix millions d'utilisateurs, derri�re noire produite par la porte arri�re gauche par le contr�le du SDK malveillant de millions d'utilisateurs, le montant hairbrush sous la dynamique code, brosse un grand nombre d'impressions d'annonces et de clics, gagner beaucoup de frais de publicit� pour les annonceurs a caus� une �norme quantit� de pertes publicitaires.

Selon une analyse d�taill�e du personnel de s�curit�, le SDK malveillant principalement dans les caract�ristiques suivantes:

1, le SDK est 1000 + un millier de d�veloppeurs d'applications, les d�veloppeurs d'applications � travers le canal de distribution arrivent utilisateur. Les applications couvertes comprennent principalement par les maisons de palmiers, STORM, g�rer tous les jours, la litt�rature de lecture de la tour, l'impact potentiel sur des millions d'utilisateurs;

2, brosse paquet quantique par t�l�chargement et les temps de chargement, et d'obtenir la quantit� de t�ches de pinceau � partir du serveur, en utilisant WebView aux scripts de charge mis en uvre dans le cas o� l'utilisateur ne per�oit pas la quantit� de brossage t�ches automatisables.

Ce trafic production noire � la publicit� traditionnelle a apport� de grands d�fis anti-triche, les strat�gies anti-triche de la repr�sentation traditionnelle des donn�es par IP, la fr�quence d'exposition, taux de clics de la formation d'un tel contr�le est difficile d'identifier un grand nombre de dispositifs r�els faire � poulet � quantit� de brosse la tricherie, ce qui rend un grand frais de publicit� dans les mains de la production noire, mais ne peut pas apporter l'effet propre de la publicit� pour les annonceurs.

processus SDK et sph�re d'influence du mal

Ce SDK malveillant int�gr� dans cette partie du code dans l'application ne fournit pas la fonctionnalit� r�elle, qui fera rapport r�guli�rement des informations li�es au dispositif est appel�, obtenir le sous-package dynamique de lien de t�l�chargement, t�l�chargement de paquet et charger les appels enfants. Ensuite, le package enfant ex�cute le comportement malveillant correspondant.

Sch�ma Malicious de flux SDK du mal:

La liste principale de l'application du SDK malveillant affect�:

Mal proc�der � une analyse d�taill�e du SDK malveillant

Ce SDK malveillant est un grand nombre de d�veloppeurs d'applications petites et moyennes entreprises � int�grer, nous devons appliquer la lecture de la tour la litt�rature comme un exemple, une analyse d�taill�e de leur comportement malveillant.

SDK structure de code malveillant

Ce code est moins sdk, aucune fonction r�elle. Ce qui est charg� apr�s avoir �t� invoqu�, le r�glage de la t�che timer toutes les 3600 secondes (1 heure) D�but GatherService, rapport, les informations de l'appareil, l'acquisition de lien de t�l�chargement de dynamique sous-paquet __gather_impl.jar

GatherService li� au serveur pour obtenir le lien de t�l�chargement __gather_impl.jar

Demande lien: http: //gather.andr****.com: 5080 / gupdate / v1

Demande de donn�es comprennent: uid, applications nom de package, id p�riph�rique, la version de l'application, le fabricant de t�l�phone mobile, mod�le, version du syst�me, IMEI, version sdk etc.

Retourne le contenu: y compris la version sous-package, t�l�charger url, fichier md5

Chargement dynamique t�l�chargement __gather_impl.jar

__Gather_impl.jar structure de code de sous-paquets, les paquets de sous-fonctions principales: 1, les informations d'ajout d'�quipement utilisateur 2, et charger dynamiquement le t�l�chargement des paquets de sous-stat-impl.jar

1), serveur li�, le t�l�chargement des informations de dispositif utilisateur

lien du serveur: http: //userdata.andr****.com/userdata/userdata.php (Cette URL n'est plus valide au moment de l'analyse, il ne peut pas �tre li�)

rapport Contenu: y compris les informations de localisation (latitude et longitude), la liste des utilisateurs � installer (nom du logiciel, nom du paquet), des informations d'�quipement (fabricant, mod�le, empreintes digitales, que ce soit la racine), deviceid, num�ro de t�l�phone, les op�rateurs, IMEI, mac et ainsi de suite.

2), serveur demandant � nouveau obtenir le lien de t�l�chargement de stat-impl.jar

Demande lien: http: //iupd.andr****.com: 6880 / wupdate / v1

Demande de donn�es: y compris uid de contenu, IMEI, version sdk, le fabricant de t�l�phone mobile, mod�le, version du syst�me, le nom du package d'application, id dispositif, jeu d'instructions de l'appareil

Retourne le contenu: y compris la version sous-package, t�l�charger url, fichier md5

Une fois le t�l�chargement sous-ensembles complets, appelez la charge dynamique de la m�thode native de ce sous-ensemble

structure de code Stat-impl.jar:

Apr�s paquet sous-stat impl.jar a �t� charg�, le fil com.drudge.rmt.g sera d�marr�, sa fonction principale est de se brosser la quantit� de r�seau pour obtenir des t�ches et des t�ches planifi�es pour l'ex�cution.

Les t�ches principales incluent la quantit� de brosse: 1, Baidu brosse rechercher des mots-cl�s, et 2, en utilisant un script js cliquez sur automatiquement, diapositive pour brosser le montant de cent millions de Baidu annonces et les clics publicitaires, 3, en utilisant un acc�s Web WebView brosse.

1, Baidu brosse Recherche par mot cl�

Cette t�che bas�e sur la cha�ne JSON acquise, l'op�ration correspondante, y compris la mise en BAIDUID, mise � jour de configuration, les t�ches d'ajouter, presse-papiers fourni et utilisez une brosse recherche Baidu mot-cl�

Set mot-cl�, utilisez la charge WebView url correspondant

Baidu brosse Captured de demande de mot-cl�: charge WebView

Li� au serveur http: //tw.andr****.com: 6080 / wtask / v1 t�ches li�es � l'acquisition, et le contenu de la t�che en / Cache / volley

2, en utilisant ad Baidu pinceau script js

Utilisez la charge WebView et ex�cuter le script js apr�s le chargement est automatique coulissant complet, cliquez sur, d'enregistrer et d'autres op�rations � brosser automatiquement Publicit�

Le script connexes

1), coulissantes d�finition de la fonction js, cliquez sur, op�ration de conservation

analyse Java couche et obtenir un transfert de couche js de la commande de fonctionnement

2), la fonction js d�termine et acquiert l'�l�ment de page

...

3), la fonction js calcule la position relative des �l�ments de page, et l'op�ration de clic � glissi�re

...

brosse Captur� Baidu demande de charge ad WebView:

3, en utilisant un acc�s Web � brosse webview

Cette t�che requiert demande d'acc�s lien URL pour le serveur, apr�s avoir obtenu l'URL de la page Web correspondante, l'utilisation charge WebView pour une visite.

besoins lien URL pour acc�der � la demande

lien Demande

Retourne le contenu

< "Http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm%2FQqzCVcw2dvukMqw25Q%3D%3Du0026_t=1511190410",

"Http://m.xinshiye.cc/cars/17/10/11/234818.html?content_id=234818u0026key=NzLZyHQXsCdpS6bkAWab2LSzd2XApbGOJYUuN%2Bm4PFsoWk1l%2FnZSD8M1yp1cuhz%2FdL0uoNG93TVt8ai6zEU%2BQw%3D%3Du0026_t=1511190560",

"Http://m.xinshiye.cc/cars/17/11/26/1769446.html?content_id=1769446u0026key=8KLxL1fm2gwNDxqT6nsSAbQ07kcEZRHBrekhzNSJcNaAg1nZmbW49pQ3EaEYJfMUeMlwSX4KzdliXJ3O37fs9g%3D%3Du0026_t=1513046929",

"Http://m.xinshiye.cc/cars/17/10/31/1444661.html?content_id=1444661u0026key=mODVhDy0zyzBGH1G6sTwDYXqiy3D7pDfymsirda6s5%2BW8tarfIDPjuhT3mkqeMMDKzKr%2BFVC2Py2gzsNkMniHw%3D%3Du0026_t=1509589907",

"Http://m.xinshiye.cc/cars/17/12/09/1921549.html?content_id=1921549u0026key=0XFxkCX0Bn4k%2Fw5%2FqvlSIOCREqEWoJ5jimqn%2BZAeJIwksQzydyT0AZFAVZJAritm3hpGza4TFNlONZDtoY%2BfTA%3D%3Du0026_t=1513045278">

Utilisez WebView l'acc�s url obtenir

brosse Captur� aussi bon que d'un r�seau de remise en forme m�decin WebView demande de chargement:

finition URL connexes

Recommandations de s�curit� et mesures de pr�vention

Des applications malveillantes Android de la fin r�cente des pratiques mal�fiques de vue, les d�veloppeurs plus malveillants directement transf�r�s Les d�veloppeurs d'applications pour d�velopper des applications tourn�es SDK, les applications Android de la cha�ne d'approvisionnement en amont. En fournissant un SDK malveillant pour les d�veloppeurs d'applications, les d�veloppeurs malveillants peuvent r�utiliser les canaux de distribution pour ces applications, d�veloppez tr�s efficace le champ d'influence de l'utilisateur. En termes de cat�gories, les professionnels de la production de noir SDK malveillant avant de se concentrer sur la perception de l'utilisateur d'une quantit� sans publicit� de brosse et brosser la direction quantit� du site, les techniques de chargement en utilisant la s�paration de code et code dynamique, la mise en uvre r�elle peut �tre compl�tement fabriqu�s � partir de nuages codes, contr�ler le dispositif utilisateur comme un � poulet � publicit�, sites web et autres brosse noir comportement de production de volume, avec une forte secr�te.

Un tel type de flux de production noir a augment� progressivement, non seulement porter pr�judice aux utilisateurs de t�l�phones mobiles, mais aussi � la fin de la publicit� mobile anti-triche est un grand d�fi pour les strat�gies de lutte contre la fraude traditionnelles bas�es sur IP, la fr�quence de l'exposition, le CTR et une autre repr�sentation de donn�es form�e ce contr�le est difficile d'identifier un grand nombre de dispositifs r�els ne constituent � poulet � de la tricherie brosse, il est difficile de prot�ger les d�veloppeurs d'applications et les annonceurs des droits et int�r�ts l�gitimes.

Pour les utilisateurs finaux, les recommandations de s�curit� suivantes:

1, dans la mesure du possible l'utilisation des applications l�gitimes et l'application officielle de l'APP disponible sur le march�;

2, m�me si la mise � jour de s�curit� de l'appareil mobile;

3, installation de femme de m�nage de t�l�phone mobile et d'autres logiciels de s�curit�, protection en temps r�el.

Ce rapport de recherche est �mis par Tencent �quipe de recherche sur la s�curit�, autoris� Lei Feng �diteur de r�seau.

Lei Feng r�seau

Route de la soie

Apprenez � conna�tre la Chine

Exclusive | SDK placement myst�rieux produit Baidu brosse noire des milliers de APP

processus SDK et sph�re d'influence du mal

Mal proc�der � une analyse d�taill�e du SDK malveillant

Recommandations de s�curit� et mesures de pr�vention