SDK brosse mystérieux noir placement Baidu produit des milliers de APP

2019-04-24 00:51:00

Sécurité a appris de Tencent, laboratoire de sécurité anti-fraude Tencent pour suivre STORM, gérer tous les jours, la lecture de la tour il y a un certain nombre d'applications à télécharger sous-paquet malveillant littérature intégré un SDK, WebView avec script js au pinceau dans le cas où l'utilisateur n'a pas Percevoir Baidu publicité malveillante.

Le SDK malveillant par l'application formelle de nombreux développeurs d'applications ont mis au point, chaque application via des canaux de distribution Retouches dix millions d'utilisateurs, derrière noire produite par la porte arrière gauche par le contrôle du SDK malveillant de millions d'utilisateurs, le montant hairbrush sous la dynamique code, brosse un grand nombre d'impressions d'annonces et de clics, gagner beaucoup de frais de publicité pour les annonceurs a causé une énorme quantité de pertes publicitaires.

Selon une analyse détaillée du personnel de sécurité, le SDK malveillant principalement dans les caractéristiques suivantes:

1, le SDK est 1000 + un millier de développeurs d'applications, les développeurs d'applications à travers le canal de distribution arrivent utilisateur. Les applications couvertes comprennent principalement par les maisons de palmiers, STORM, gérer tous les jours, la littérature de lecture de la tour, l'impact potentiel sur des millions d'utilisateurs;

2, brosse paquet quantique par téléchargement et les temps de chargement, et d'obtenir la quantité de tâches de pinceau à partir du serveur, en utilisant WebView aux scripts de charge mis en uvre dans le cas où l'utilisateur ne perçoit pas la quantité de brossage tâches automatisables.

Ce trafic production noire à la publicité traditionnelle a apporté de grands défis anti-triche, les stratégies anti-triche de la représentation traditionnelle des données par IP, la fréquence d'exposition, taux de clics de la formation d'un tel contrôle est difficile d'identifier un grand nombre de dispositifs réels faire « poulet » quantité de brosse la tricherie, ce qui rend un grand frais de publicité dans les mains de la production noire, mais ne peut pas apporter l'effet propre de la publicité pour les annonceurs.

processus SDK et sphère d'influence du mal

Ce SDK malveillant intégré dans cette partie du code dans l'application ne fournit pas la fonctionnalité réelle, qui fera rapport régulièrement des informations liées au dispositif est appelé, obtenir le sous-package dynamique de lien de téléchargement, téléchargement de paquet et charger les appels enfants. Ensuite, le package enfant exécute le comportement malveillant correspondant.

Schéma Malicious de flux SDK du mal:

La liste principale de l'application du SDK malveillant affecté:

Mal procéder à une analyse détaillée du SDK malveillant

Ce SDK malveillant est un grand nombre de développeurs d'applications petites et moyennes entreprises à intégrer, nous devons appliquer la lecture de la tour la littérature comme un exemple, une analyse détaillée de leur comportement malveillant.

SDK structure de code malveillant

Ce code est moins sdk, aucune fonction réelle. Ce qui est chargé après avoir été invoqué, le réglage de la tâche timer toutes les 3600 secondes (1 heure) Début GatherService, rapport, les informations de l'appareil, l'acquisition de lien de téléchargement de dynamique sous-paquet __gather_impl.jar

GatherService lié au serveur pour obtenir le lien de téléchargement __gather_impl.jar

Demande lien: http: //gather.andr****.com: 5080 / gupdate / v1

Demande de données comprennent: uid, applications nom de package, id périphérique, la version de l'application, le fabricant de téléphone mobile, modèle, version du système, IMEI, version sdk etc.

Retourne le contenu: y compris la version sous-package, télécharger url, fichier md5

Chargement dynamique téléchargement __gather_impl.jar

__Gather_impl.jar structure de code de sous-paquets, les paquets de sous-fonctions principales: 1, les informations d'ajout d'équipement utilisateur 2, et charger dynamiquement le téléchargement des paquets de sous-stat-impl.jar

1), serveur lié, le téléchargement des informations de dispositif utilisateur

lien du serveur: http: //userdata.andr****.com/userdata/userdata.php (Cette URL n'est plus valide au moment de l'analyse, il ne peut pas être lié)

rapport Contenu: y compris les informations de localisation (latitude et longitude), la liste des utilisateurs à installer (nom du logiciel, nom du paquet), des informations d'équipement (fabricant, modèle, empreintes digitales, que ce soit la racine), deviceid, numéro de téléphone, les opérateurs, IMEI, mac et ainsi de suite.

2), serveur demandant à nouveau obtenir le lien de téléchargement de stat-impl.jar

Demande lien: http: //iupd.andr****.com: 6880 / wupdate / v1

Demande de données: y compris uid de contenu, IMEI, version sdk, le fabricant de téléphone mobile, modèle, version du système, le nom du package d'application, id dispositif, jeu d'instructions de l'appareil

Retourne le contenu: y compris la version sous-package, télécharger url, fichier md5

 Une fois le téléchargement sous-ensembles complets, appelez la charge dynamique de la méthode native de ce sous-ensemble

structure de code Stat-impl.jar:

Après paquet sous-stat impl.jar a été chargé, le fil com.drudge.rmt.g sera démarré, sa fonction principale est de se brosser la quantité de réseau pour obtenir des tâches et des tâches planifiées pour l'exécution.

Les tâches principales incluent la quantité de brosse: 1, Baidu brosse rechercher des mots-clés, et 2, en utilisant un script js cliquez sur automatiquement, diapositive pour brosser le montant de cent millions de Baidu annonces et les clics publicitaires, 3, en utilisant un accès Web WebView brosse.

1, Baidu brosse Recherche par mot clé

Cette tâche basée sur la chaîne JSON acquise, l'opération correspondante, y compris la mise en BAIDUID, mise à jour de configuration, les tâches d'ajouter, presse-papiers fourni et utilisez une brosse recherche Baidu mot-clé

Set mot-clé, utilisez la charge WebView url correspondant

Baidu brosse Captured de demande de mot-clé: charge WebView

Lié au serveur http: //tw.andr****.com: 6080 / wtask / v1 tâches liées à l'acquisition, et le contenu de la tâche en / Cache / volley

2, en utilisant ad Baidu pinceau script js

Utilisez la charge WebView et exécuter le script js après le chargement est automatique coulissant complet, cliquez sur, d'enregistrer et d'autres opérations à brosser automatiquement Publicité

Le script connexes

1), coulissantes définition de la fonction js, cliquez sur, opération de conservation

analyse Java couche et obtenir un transfert de couche js de la commande de fonctionnement

2), la fonction js détermine et acquiert l'élément de page

...

3), la fonction js calcule la position relative des éléments de page, et l'opération de clic à glissière

...

brosse Capturé Baidu demande de charge ad WebView:

3, en utilisant un accès Web à brosse webview

Cette tâche requiert demande d'accès lien URL pour le serveur, après avoir obtenu l'URL de la page Web correspondante, l'utilisation charge WebView pour une visite.

besoins lien URL pour accéder à la demande

lien Demande

Retourne le contenu

< "Http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm%2FQqzCVcw2dvukMqw25Q%3D%3Du0026_t=1511190410",

"Http://m.xinshiye.cc/cars/17/10/11/234818.html?content_id=234818u0026key=NzLZyHQXsCdpS6bkAWab2LSzd2XApbGOJYUuN%2Bm4PFsoWk1l%2FnZSD8M1yp1cuhz%2FdL0uoNG93TVt8ai6zEU%2BQw%3D%3Du0026_t=1511190560",

"Http://m.xinshiye.cc/cars/17/11/26/1769446.html?content_id=1769446u0026key=8KLxL1fm2gwNDxqT6nsSAbQ07kcEZRHBrekhzNSJcNaAg1nZmbW49pQ3EaEYJfMUeMlwSX4KzdliXJ3O37fs9g%3D%3Du0026_t=1513046929",

"Http://m.xinshiye.cc/cars/17/10/31/1444661.html?content_id=1444661u0026key=mODVhDy0zyzBGH1G6sTwDYXqiy3D7pDfymsirda6s5%2BW8tarfIDPjuhT3mkqeMMDKzKr%2BFVC2Py2gzsNkMniHw%3D%3Du0026_t=1509589907",

"Http://m.xinshiye.cc/cars/17/12/09/1921549.html?content_id=1921549u0026key=0XFxkCX0Bn4k%2Fw5%2FqvlSIOCREqEWoJ5jimqn%2BZAeJIwksQzydyT0AZFAVZJAritm3hpGza4TFNlONZDtoY%2BfTA%3D%3Du0026_t=1513045278">

Utilisez WebView l'accès url obtenir

brosse Capturé aussi bon que d'un réseau de remise en forme médecin WebView demande de chargement:

finition URL connexes

Recommandations de sécurité et mesures de prévention

Des applications malveillantes Android de la fin récente des pratiques maléfiques de vue, les développeurs plus malveillants directement transférés Les développeurs d'applications pour développer des applications tournées SDK, les applications Android de la chaîne d'approvisionnement en amont. En fournissant un SDK malveillant pour les développeurs d'applications, les développeurs malveillants peuvent réutiliser les canaux de distribution pour ces applications, développez très efficace le champ d'influence de l'utilisateur.

En termes de catégories, les professionnels de la production de noir SDK malveillant avant de se concentrer sur la perception de l'utilisateur d'une quantité sans publicité de brosse et brosser la direction quantité du site, les techniques de chargement en utilisant la séparation de code et code dynamique, la mise en uvre réelle peut être complètement fabriqués à partir de nuages codes, contrôler le dispositif utilisateur comme un « poulet » publicité, sites web et autres brosse noir comportement de production de volume, avec une forte secrète.

Un tel type de flux de production noir a augmenté progressivement, non seulement porter préjudice aux utilisateurs de téléphones mobiles, mais aussi à la fin de la publicité mobile anti-triche est un grand défi pour les stratégies de lutte contre la fraude traditionnelles basées sur IP, la fréquence de l'exposition, le CTR et une autre représentation de données formée ce contrôle est difficile d'identifier un grand nombre de dispositifs réels ne constituent « poulet » de la tricherie brosse, il est difficile de protéger les développeurs d'applications et les annonceurs des droits et intérêts légitimes.

Pour les utilisateurs finaux, les recommandations de sécurité suivantes:

1, dans la mesure du possible l'utilisation des applications légitimes et l'application officielle de l'APP disponible sur le marché;

2, même si la mise à jour de sécurité de l'appareil mobile;

3, installation de femme de ménage de téléphone mobile et d'autres logiciels de sécurité, protection en temps réel.

Quand l'acteur de rester barbe: Cai Xu Kun, des milliers de Xi innocents, Hu Ge matures, il devrait plus beau!
Précédent
Liu Qiang filles du parti Est prennent l'initiative de tirer le bras de l'homme, a été critiqué les utilisateurs: C'est exclusif Zhang Zetian!
Prochain
Ella, âgé de 37 ans n'a pas été un garçon manqué, une « vache chargée » bonne sexy, des amis: veulent se marier!
Ace wrap la nuit pourquoi Tucao est l'un des plus embarrassés de cette saison? Il y a homme embarrassé jouer dehors RAN il
Qi Wei Xi monté pantalon taille haute jambe large, les fans de longue pattes du spectacle! Utilisateur: frontières entre les sexes transcendent des États-Unis Shuai
Shanghai combustion spontanée d'un Tesla seulement un squelette! Les accidents sont fréquents véhicules électriques en cas d'une crise de confiance
Xiaolong 855 a un téléphone cellulaire au « pixel caméra arrière intégré plus de 100 millions »!
Angelababy peut imiter nuage en ligne fou, ignorant pour voir à côté de la Li Chen
Chinois à la lumière de l'Asie Huobian, un vêtement brillant CoCo 45 ans retour profil de haut, le dos aux Etats-Unis à « Blues Opéra de Pékin »
« Dieux » Yang Jian a été arrêté, le mets à genoux Bukit, les voitures à côté lumineux
« Déesse nationale » frappé « l'amour national » du Japon! tempérament Ishihara Satomi, Aragaki Yui pur
Geler pas cher pour acheter! Les chasseurs de mémoire doivent prêter attention à ces questions
46 ans et 37 ans, Lan Li Bingbing Qin portant les mêmes modèles de robe noire, dominateur reine et gentille dame qui gagne?
Amber Kuo vraiment oser porter! Huile belle tête avec des fentes habillées en robe orange, le champ de gaz éclatant!