Aucun sens de la malice SDK brosse la publicit� Baidu, des milliers d'implants APP affectent des millions d'utilisateurs

I. R�sum�

Avril 2018, Tencent exposition de s�curit� du � push parasite �, a d�voil� le flux de production de noir, de sorte que le public comprenne que le noir est donn� progressivement de se cacher derri�re les coulisses, par le biais de camouflage SDK officiel, les d�veloppeurs touchent � travers la masse des utilisateurs, puis l'instruction dynamique �mis par les logiciels publicitaires et de promotion d'applications, gagner les frais de publicit� et de promotion, r�alisation de b�n�fices gris. Par pure co�ncidence, r�cemment, en se fondant sur Tencent grande s�curit� des donn�es, laboratoire de s�curit� anti-fraude Tencent suivi STORM, g�rer tous les jours, la tour lire la litt�rature dans une vari�t� d'applications SDK int�gr� il y a un sous-package t�l�chargement script js malveillants, sans per�ue par l'utilisateur WebView brosse Baidu publicit� dans le cas des actions malveillantes.

Le SDK malveillant par l'application formelle de nombreux d�veloppeurs d'applications ont mis au point, chaque application via des canaux de distribution Retouches dix millions d'utilisateurs, derri�re noire produite par la porte arri�re gauche par le contr�le du SDK malveillant de millions d'utilisateurs, le montant hairbrush sous la dynamique code, brosse un grand nombre d'impressions d'annonces et de clics, gagner beaucoup de frais de publicit� pour les annonceurs a caus� une �norme quantit� de pertes publicitaires.

Selon une analyse d�taill�e du personnel de s�curit�, le SDK malveillant principalement dans les caract�ristiques suivantes:

1. Le SDK est 1000 + un millier de d�veloppeurs d'applications, les d�veloppeurs d'applications � travers le canal de distribution arrivent utilisateur. Les applications couvertes comprennent principalement par les maisons de palmiers, STORM, g�rer tous les jours, la litt�rature de lecture de la tour, l'impact potentiel sur des millions d'utilisateurs;

2. package quantique Brush par t�l�chargement et les temps de chargement, et d'obtenir la quantit� de t�ches de pinceau � partir du serveur, en utilisant WebView aux scripts de charge mis en uvre dans le cas o� l'utilisateur ne per�oit pas la quantit� de brossage t�ches automatisables.

Ce trafic production noire � la publicit� traditionnelle a apport� de grands d�fis anti-triche, les strat�gies anti-triche de la repr�sentation traditionnelle des donn�es par IP, la fr�quence d'exposition, taux de clics de la formation d'un tel contr�le est difficile d'identifier un grand nombre de dispositifs r�els faire � poulet � quantit� de brosse la tricherie, ce qui rend un grand frais de publicit� dans les mains de la production noire, mais ne peut pas apporter l'effet propre de la publicit� pour les annonceurs.

Deux processus de mauvais SDK et l'influence

Ce SDK malveillant int�gr� dans cette partie du code dans l'application ne fournit pas la fonctionnalit� r�elle, qui fera rapport r�guli�rement des informations li�es au dispositif est appel�, obtenir le sous-package dynamique de lien de t�l�chargement, t�l�chargement de paquet et charger les appels enfants. Ensuite, le package enfant ex�cute le comportement malveillant correspondant.

Sch�ma Malicious de flux SDK du mal:

La liste principale de l'application du SDK malveillant affect�:

Troisi�mement, le mal proc�der � une analyse d�taill�e du SDK malveillant

Ce SDK malveillant est un grand nombre de d�veloppeurs d'applications petites et moyennes entreprises � int�grer, nous devons appliquer la lecture de la tour la litt�rature comme un exemple, une analyse d�taill�e de leur comportement malveillant.

SDK structure de code malveillant:

Ce code est moins sdk, aucune fonction r�elle. Ce qui est charg� apr�s avoir �t� invoqu�, le r�glage de la t�che timer toutes les 3600 secondes (1 heure) D�marrer GatherService, signaler les informations de l'appareil, l'acquisition de sous-paquet lien de t�l�chargement de __gather_impl.jar dynamique.

GatherService li� au serveur pour obtenir le lien de t�l�chargement __gather_impl.jar.

Demande lien: http: //gather.andr****.com: 5080 / gupdate / v1.

Demande de donn�es comprennent: uid, nom du package d'application, id appareil, la version de l'application, le fabricant de t�l�phone mobile, mod�le, version du syst�me, IMEI, version sdk et ainsi de suite.

Retourne le contenu: incluent la sous-package, t�l�charger url, fichier md5.

Chargement dynamique t�l�chargement __gather_impl.jar.

__Gather_impl.jar structure de code de sous-paquets, les paquets de sous-fonctions principales: 1, les informations d'ajout d'�quipement utilisateur 2, et charger dynamiquement le t�l�chargement des paquets de sous-stat-impl.jar.

1) serveur li�, le t�l�chargement des informations de dispositif utilisateur

lien du serveur: http: //userdata.andr****.com/userdata/userdata.php (Cette URL n'est plus valide au moment de l'analyse, ne peut �tre li�e).

rapport Contenu: y compris les informations de localisation (latitude et longitude), la liste des utilisateurs � installer (nom du logiciel, nom du paquet), des informations d'�quipement (fabricant, mod�le, empreintes digitales, que ce soit la racine), deviceid, num�ro de t�l�phone, les op�rateurs, IMEI, mac et ainsi de suite.

2) demande � nouveau le serveur, vous obtenez le lien de t�l�chargement de stat-impl.jar.

Demande lien: http: //iupd.andr****.com: 6880 / wupdate / v1.

Demande de donn�es: y compris uid contenu, IMEI, version sdk, le fabricant de t�l�phone mobile, mod�le, version du syst�me, le nom du package d'application, id dispositif, jeu d'instructions de l'appareil.

Retourne le contenu: incluent la sous-package, t�l�charger url, fichier md5.

Une fois le t�l�chargement sous-ensembles complets, appelez la charge dynamique de la m�thode native de ce sous-ensemble.

structure de code Stat-impl.jar:

Apr�s paquet sous-stat impl.jar a �t� charg�, le fil com.drudge.rmt.g sera d�marr�, sa fonction principale est de se brosser la quantit� de r�seau pour obtenir des t�ches et des t�ches planifi�es pour l'ex�cution.

Les t�ches principales incluent la quantit� de brosse: 1, Baidu brosse rechercher des mots-cl�s, et 2, en utilisant un script js cliquez sur automatiquement, diapositive pour brosser le montant de cent millions de Baidu annonces et les clics publicitaires, 3, en utilisant un acc�s Web WebView brosse.

1. Brush Baidu recherche

Cette t�che bas�e sur la cha�ne JSON acquise, l'op�ration correspondante, y compris la mise en BAIDUID, mise � jour de configuration, ajouter des t�ches, presse-papiers fournis et un mot-cl� de recherche Baidu brosse.

D�finir mot-cl�, l'utilisation url correspondant charge WebView:

Baidu brosse Captured de demande de mot-cl�: charge WebView

Li� au serveur http: //tw.andr****.com: 6080 / wtask / v1 t�ches li�es � l'acquisition, et le contenu de la t�che en / Cache / volley:

2. Utilisez le script de la publicit� Baidu brosse

Utilisation WebView charge et ex�cuter le script js apr�s le chargement est automatique coulissant complet, cliquez sur, d'enregistrer et d'autres op�rations pour brosser automatiquement la publicit�.

script js connexes.

1) La diapositive de d�finition de la fonction de, cliquez sur, op�ration de conservation.

analyse Java couche et obtenir passe de la couche js sur commande de fonctionnement.

2) js fonction d�termine et acquiert des �l�ments de page.

...

3) js une fonction de calcul de la position relative des �l�ments de page et de glissement, une op�ration de clic.

...

brosse Captur� Baidu demande de charge ad WebView:

3, en utilisant un acc�s Web � brosse webview

Cette t�che requiert demande d'acc�s lien URL pour le serveur, apr�s avoir obtenu l'URL de la page Web correspondante, l'utilisation charge WebView pour une visite.

besoins lien URL pour acc�der � la demande

lien Demande Retourne le contenu

Utilisez WebView Obtenez l'acc�s url:

brosse Captur� aussi bon que d'un r�seau de remise en forme m�decin WebView demande de chargement:

En quatri�me lieu, la finition des URL pertinentes

V. Conclusion

Des applications malveillantes Android de la fin r�cente des pratiques mal�fiques de vue, les d�veloppeurs plus malveillants directement transf�r�s Les d�veloppeurs d'applications pour d�velopper des applications tourn�es SDK, les applications Android de la cha�ne d'approvisionnement en amont. En fournissant un SDK malveillant pour les d�veloppeurs d'applications, les d�veloppeurs malveillants peuvent r�utiliser les canaux de distribution pour ces applications, d�veloppez tr�s efficace le champ d'influence de l'utilisateur. En termes de cat�gories, les professionnels de la production de noir SDK malveillant avant de se concentrer sur la perception de l'utilisateur d'une quantit� sans publicit� de brosse et brosser la direction quantit� du site, les techniques de chargement en utilisant la s�paration de code et code dynamique, la mise en uvre r�elle peut �tre compl�tement fabriqu�s � partir de nuages codes, contr�ler le dispositif utilisateur comme un � poulet � publicit�, sites web et autres brosse noir comportement de production de volume, avec une forte secr�te.

Un tel type de flux de production noir a augment� progressivement, non seulement porter pr�judice aux utilisateurs de t�l�phones mobiles, mais aussi � la fin de la publicit� mobile anti-triche est un grand d�fi pour les strat�gies de lutte contre la fraude traditionnelles bas�es sur IP, la fr�quence de l'exposition, le CTR et une autre repr�sentation de donn�es form�e ce contr�le est difficile d'identifier un grand nombre de dispositifs r�els ne constituent � poulet � de la tricherie brosse, il est difficile de prot�ger les d�veloppeurs d'applications et les annonceurs des droits et int�r�ts l�gitimes.

* Auteur: femme de m�nage mobile Tencent, tir� � part FreeBuf.COM

Route de la soie

Apprenez � conna�tre la Chine

Aucun sens de la malice SDK brosse la publicit� Baidu, des milliers d'implants APP affectent des millions d'utilisateurs