22 avril Lei sécurité réseau Feng a appris de Tencent, Tencent laboratoire de sécurité anti-fraude pour suivre STORM, gérer tous les jours, la lecture de la tour il y a un certain nombre d'applications à télécharger sous-paquet malveillant littérature intégré un SDK, par WebView avec script js Baidu brosse publicité sans la perception de l'utilisateur des actions non malveillants.
Le SDK malveillant par l'application formelle de nombreux développeurs d'applications ont mis au point, chaque application via des canaux de distribution Retouches dix millions d'utilisateurs, derrière noire produite par la porte arrière gauche par le contrôle du SDK malveillant de millions d'utilisateurs, le montant hairbrush sous la dynamique code, brosse un grand nombre d'impressions d'annonces et de clics, gagner beaucoup de frais de publicité pour les annonceurs a causé une énorme quantité de pertes publicitaires.
Selon une analyse détaillée du personnel de sécurité, le SDK malveillant principalement dans les caractéristiques suivantes:
1, le SDK est 1000 + un millier de développeurs d'applications, les développeurs d'applications à travers le canal de distribution arrivent utilisateur. Les applications couvertes comprennent principalement par les maisons de palmiers, STORM, gérer tous les jours, la littérature de lecture de la tour, l'impact potentiel sur des millions d'utilisateurs;
2, brosse paquet quantique par téléchargement et les temps de chargement, et d'obtenir la quantité de tâches de pinceau à partir du serveur, en utilisant WebView aux scripts de charge mis en uvre dans le cas où l'utilisateur ne perçoit pas la quantité de brossage tâches automatisables.
Ce trafic production noire à la publicité traditionnelle a apporté de grands défis anti-triche, les stratégies anti-triche de la représentation traditionnelle des données par IP, la fréquence d'exposition, taux de clics de la formation d'un tel contrôle est difficile d'identifier un grand nombre de dispositifs réels faire « poulet » quantité de brosse la tricherie, ce qui rend un grand frais de publicité dans les mains de la production noire, mais ne peut pas apporter l'effet propre de la publicité pour les annonceurs.
processus SDK et sphère d'influence du mal
Ce SDK malveillant intégré dans cette partie du code dans l'application ne fournit pas la fonctionnalité réelle, qui fera rapport régulièrement des informations liées au dispositif est appelé, obtenir le sous-package dynamique de lien de téléchargement, téléchargement de paquet et charger les appels enfants. Ensuite, le package enfant exécute le comportement malveillant correspondant.
Schéma Malicious de flux SDK du mal:
La liste principale de l'application du SDK malveillant affecté:
Mal procéder à une analyse détaillée du SDK malveillant
Ce SDK malveillant est un grand nombre de développeurs d'applications petites et moyennes entreprises à intégrer, nous devons appliquer la lecture de la tour la littérature comme un exemple, une analyse détaillée de leur comportement malveillant.
SDK structure de code malveillant
Ce code est moins sdk, aucune fonction réelle. Ce qui est chargé après avoir été invoqué, le réglage de la tâche timer toutes les 3600 secondes (1 heure) Début GatherService, rapport, les informations de l'appareil, l'acquisition de lien de téléchargement de dynamique sous-paquet __gather_impl.jar
GatherService lié au serveur pour obtenir le lien de téléchargement __gather_impl.jar
Demande lien: http: //gather.andr****.com: 5080 / gupdate / v1
Demande de données comprennent: uid, applications nom de package, id périphérique, la version de l'application, le fabricant de téléphone mobile, modèle, version du système, IMEI, version sdk etc.
Retourne le contenu: y compris la version sous-package, télécharger url, fichier md5
Chargement dynamique téléchargement __gather_impl.jar
__Gather_impl.jar structure de code de sous-paquets, les paquets de sous-fonctions principales: 1, les informations d'ajout d'équipement utilisateur 2, et charger dynamiquement le téléchargement des paquets de sous-stat-impl.jar
1), serveur lié, le téléchargement des informations de dispositif utilisateur
lien du serveur: http: //userdata.andr****.com/userdata/userdata.php (Cette URL n'est plus valide au moment de l'analyse, il ne peut pas être lié)
rapport Contenu: y compris les informations de localisation (latitude et longitude), la liste des utilisateurs à installer (nom du logiciel, nom du paquet), des informations d'équipement (fabricant, modèle, empreintes digitales, que ce soit la racine), deviceid, numéro de téléphone, les opérateurs, IMEI, mac et ainsi de suite.
2), serveur demandant à nouveau obtenir le lien de téléchargement de stat-impl.jar
Demande lien: http: //iupd.andr****.com: 6880 / wupdate / v1
Demande de données: y compris uid de contenu, IMEI, version sdk, le fabricant de téléphone mobile, modèle, version du système, le nom du package d'application, id dispositif, jeu d'instructions de l'appareil
Retourne le contenu: y compris la version sous-package, télécharger url, fichier md5
Une fois le téléchargement sous-ensembles complets, appelez la charge dynamique de la méthode native de ce sous-ensemble
structure de code Stat-impl.jar:
Après paquet sous-stat impl.jar a été chargé, le fil com.drudge.rmt.g sera démarré, sa fonction principale est de se brosser la quantité de réseau pour obtenir des tâches et des tâches planifiées pour l'exécution.
Les tâches principales incluent la quantité de brosse: 1, Baidu brosse rechercher des mots-clés, et 2, en utilisant un script js cliquez sur automatiquement, diapositive pour brosser le montant de cent millions de Baidu annonces et les clics publicitaires, 3, en utilisant un accès Web WebView brosse.
1, Baidu brosse Recherche par mot clé
Cette tâche basée sur la chaîne JSON acquise, l'opération correspondante, y compris la mise en BAIDUID, mise à jour de configuration, les tâches d'ajouter, presse-papiers fourni et utilisez une brosse recherche Baidu mot-clé
Set mot-clé, utilisez la charge WebView url correspondant
Baidu brosse Captured de demande de mot-clé: charge WebView
Lié au serveur http: //tw.andr****.com: 6080 / wtask / v1 tâches liées à l'acquisition, et le contenu de la tâche en / Cache / volley
2, en utilisant ad Baidu pinceau script js
Utilisez la charge WebView et exécuter le script js après le chargement est automatique coulissant complet, cliquez sur, d'enregistrer et d'autres opérations à brosser automatiquement Publicité
Le script connexes
1), coulissantes définition de la fonction js, cliquez sur, opération de conservation
analyse Java couche et obtenir un transfert de couche js de la commande de fonctionnement
2), la fonction js détermine et acquiert l'élément de page
...
3), la fonction js calcule la position relative des éléments de page, et l'opération de clic à glissière
...
brosse Capturé Baidu demande de charge ad WebView:
3, en utilisant un accès Web à brosse webview
Cette tâche requiert demande d'accès lien URL pour le serveur, après avoir obtenu l'URL de la page Web correspondante, l'utilisation charge WebView pour une visite.
besoins lien URL pour accéder à la demande
lien Demande
Retourne le contenu
< "Http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm%2FQqzCVcw2dvukMqw25Q%3D%3Du0026_t=1511190410",
"Http://m.xinshiye.cc/cars/17/10/11/234818.html?content_id=234818u0026key=NzLZyHQXsCdpS6bkAWab2LSzd2XApbGOJYUuN%2Bm4PFsoWk1l%2FnZSD8M1yp1cuhz%2FdL0uoNG93TVt8ai6zEU%2BQw%3D%3Du0026_t=1511190560",
"Http://m.xinshiye.cc/cars/17/11/26/1769446.html?content_id=1769446u0026key=8KLxL1fm2gwNDxqT6nsSAbQ07kcEZRHBrekhzNSJcNaAg1nZmbW49pQ3EaEYJfMUeMlwSX4KzdliXJ3O37fs9g%3D%3Du0026_t=1513046929",
"Http://m.xinshiye.cc/cars/17/10/31/1444661.html?content_id=1444661u0026key=mODVhDy0zyzBGH1G6sTwDYXqiy3D7pDfymsirda6s5%2BW8tarfIDPjuhT3mkqeMMDKzKr%2BFVC2Py2gzsNkMniHw%3D%3Du0026_t=1509589907",
"Http://m.xinshiye.cc/cars/17/12/09/1921549.html?content_id=1921549u0026key=0XFxkCX0Bn4k%2Fw5%2FqvlSIOCREqEWoJ5jimqn%2BZAeJIwksQzydyT0AZFAVZJAritm3hpGza4TFNlONZDtoY%2BfTA%3D%3Du0026_t=1513045278">
Utilisez WebView l'accès url obtenir
brosse Capturé aussi bon que d'un réseau de remise en forme médecin WebView demande de chargement:
finition URL connexes
Recommandations de sécurité et mesures de prévention
Des applications malveillantes Android de la fin récente des pratiques maléfiques de vue, les développeurs plus malveillants directement transférés Les développeurs d'applications pour développer des applications tournées SDK, les applications Android de la chaîne d'approvisionnement en amont. En fournissant un SDK malveillant pour les développeurs d'applications, les développeurs malveillants peuvent réutiliser les canaux de distribution pour ces applications, développez très efficace le champ d'influence de l'utilisateur. En termes de catégories, les professionnels de la production de noir SDK malveillant avant de se concentrer sur la perception de l'utilisateur d'une quantité sans publicité de brosse et brosser la direction quantité du site, les techniques de chargement en utilisant la séparation de code et code dynamique, la mise en uvre réelle peut être complètement fabriqués à partir de nuages codes, contrôler le dispositif utilisateur comme un « poulet » publicité, sites web et autres brosse noir comportement de production de volume, avec une forte secrète.
Un tel type de flux de production noir a augmenté progressivement, non seulement porter préjudice aux utilisateurs de téléphones mobiles, mais aussi à la fin de la publicité mobile anti-triche est un grand défi pour les stratégies de lutte contre la fraude traditionnelles basées sur IP, la fréquence de l'exposition, le CTR et une autre représentation de données formée ce contrôle est difficile d'identifier un grand nombre de dispositifs réels ne constituent « poulet » de la tricherie brosse, il est difficile de protéger les développeurs d'applications et les annonceurs des droits et intérêts légitimes.
Pour les utilisateurs finaux, les recommandations de sécurité suivantes:
1, dans la mesure du possible l'utilisation des applications légitimes et l'application officielle de l'APP disponible sur le marché;
2, même si la mise à jour de sécurité de l'appareil mobile;
3, installation de femme de ménage de téléphone mobile et d'autres logiciels de sécurité, protection en temps réel.
Ce rapport de recherche est émis par Tencent équipe de recherche sur la sécurité, autorisé Lei Feng éditeur de réseau.
Lei Feng réseau