Kötü amaçlı SDK, Baidu reklamlarını hissetmeden tarar, binlerce APP yerleştirmesi milyonlarca kullanıcıyı etkiler
1. Özet
Nisan 2018'de Tencent, "asalak baskısını" güvenli bir şekilde ortaya çıkardı, trafik karası üretiminin örtüsünü ortaya çıkardı, resmi SDK'yı gizleyerek ve kamu geliştiricilerinin yardımıyla kullanıcılara ulaşarak siyah üretimin yavaş yavaş perde arkasına saklandığını kamuoyuna duyurdu. Ardından, kötü niyetli reklamlar ve uygulama promosyonları yoluyla reklam promosyon maliyetleri kazanmak için dinamik olarak talimatlar yayınlayın ve gri kar elde edin. Tesadüfen, son zamanlarda, Tencent güvenlik büyük verisine güvenerek, Tencent Security Anti-Fraud Lab, Baofengyingyin, Tiantiankan, Tadu Literature, vb. Gibi birçok uygulamaya entegre edilen belirli bir SDK'nın kötü amaçlı alt paketler indirdiğini ve kullanıcıların webview ve js komut dosyaları aracılığıyla hiçbir algılarının olmadığını tespit etti. Baidu reklamlarının kötü niyetli bir şekilde fırçalanması durumunda.
Kötü amaçlı SDK, birçok uygulama geliştiricisinin çeşitli uygulama dağıtım kanalları aracılığıyla geliştirdiği resmi uygulamalarla on milyonlarca kullanıcıya ulaşmıştır; arkasındaki siyah ürün, kötü amaçlı SDK'nın bıraktığı arka kapıdan on milyonlarca kullanıcıyı kontrol eder ve kullanıcı sayısını dinamik olarak dağıtır. Code, çok sayıda reklam teşhir ve tıklama, çok fazla reklam maliyeti kazandırır ve reklamverenlere büyük bir reklam kaybına neden olur.
Güvenlik personeli tarafından yapılan ayrıntılı bir analize göre, bu kötü amaçlı SDK temel olarak aşağıdaki özelliklere sahiptir:
1. SDK, 1000'den fazla uygulama geliştiricisi tarafından kullanılır ve kullanıcılara uygulama geliştiricilerin dağıtım kanalları aracılığıyla ulaşır. Esas olarak ilgili uygulamalar arasında potansiyel olarak on milyonlarca kullanıcıyı etkileyebilecek Palm Tongjiayuan, Baofengyingyin, Tiantiankan, Tower Reading Literature, vb. Yer alır;
2. Kaydırma kuantum paketi birçok kez indirilir ve yüklenir ve kaydırma görevi sunucudan alınır ve web görünümü, kaydırma görevini kullanıcının algısı olmadan otomatik olarak gerçekleştirmek için js betiğini yüklemek için kullanılır.
Bu tür trafik karası üretimi, geleneksel reklamların hileye karşı önlenmesine büyük zorluklar getirmiştir.IP, maruz kalma sıklığı, tıklama oranı vb. Gibi görünüm verilerinin oluşturduğu geleneksel hile önleme stratejisinin, çok sayıda gerçek cihazı kontrol eden kontrol miktarını "broiler" olarak belirlemek zordur. Hile, büyük miktarda reklam maliyetinin siyah endüstrinin eline geçmesine neden oldu, ancak reklamverenlere istenen reklam etkisini sağlayamadı.
2. SDK'nın kötülük süreci ve etki alanı
Kodun bu kötü amaçlı SDK'nın uygulamasına entegre edilen kısmı gerçek işlevleri sağlamaz, çağrıldıktan sonra cihazla ilgili bilgileri periyodik olarak rapor edecek, dinamik alt paketin indirme bağlantısını alacak, alt paketi indirecek ve aramayı yükleyecektir. Daha sonra alt paket, ilgili kötü niyetli davranışı gerçekleştirir.
Kötü amaçlı SDK kötü amaçlı işleminin şematik diyagramı:
Kötü amaçlı SDK'dan etkilenen ana uygulamaların listesi:
3. Kötü amaçlı SDK davranışının ayrıntılı analizi
Bu kötü amaçlı SDK, birçok küçük ve orta ölçekli uygulama geliştiricisi tarafından entegre edilmiştir.Kötü amaçlı davranışlarını ayrıntılı olarak analiz etmek için uygulama kulesi okuma literatürünü örnek olarak alıyoruz.
Kötü amaçlı SDK kod yapısı:
Bu SDK'nın daha az kodu vardır ve gerçek işlevleri yoktur. Yüklendikten ve çağrıldıktan sonra, bir zamanlama görevi ayarlayacak, GatherService'i her 3600 saniyede (1 saat) başlatacak, cihazla ilgili bilgileri rapor edecek ve __gather_impl.jar dinamik alt paketinin indirme bağlantısını alacaktır.
GatherService, __gather_impl.jar dosyasının indirme bağlantısını almak için sunucuyu bağlar.
Bağlantı isteği: http: //gather.andr****.com: 5080 / gupdate / v1.
Veri isteği: kullanıcı kimliği, uygulama paketi adı, cihaz kimliği, uygulama sürümü, cep telefonu üreticisi, model, sistem sürümü, imei, sdk sürümü vb. Dahil.
İçeriği döndür: Alt paketin sürümü, indirme url'si, md5 dosyası.
İndirilen __gather_impl.jar dosyasını dinamik olarak yükleyin.
__Gather_impl.jar alt paketinin kod yapısı Bu alt paketin ana işlevleri şunlardır: 1. Kullanıcı cihaz bilgilerini karşıya yükleyin, 2. Stat-impl.jar alt paketini indirin ve dinamik olarak yükleyin.
1) Sunucuya bağlanın ve kullanıcı ekipman bilgilerini yükleyin
Sunucu bağlantısı: http: //userdata.andr****.com/userdata/userdata.php (bu url analiz sırasında geçersiz kılınmıştır ve bağlanılamaz).
Bildirilen içerik: konum bilgileri (enlem ve boylam), kullanıcı yükleme listesi (yazılım adı, paket adı), cihaz bilgileri (üretici, model, parmak izi, kök veya değil), cihaz kimliği, cep telefonu numarası, operatör, imei, mac vb. Dahil
2) Sunucudan stat-impl.jar'ın indirme bağlantısını almasını tekrar isteyin.
Bağlantı isteği: http: //iupd.andr****.com: 6880 / wupdate / v1.
Veri isteği: uid, imei, sdk sürümü, cep telefonu üreticisi, model, sistem sürümü, uygulama paketi adı, cihaz kimliği, cihaz talimat seti vb. Dahil.
İçeriği döndür: Alt paketin sürümü, indirme url'si, md5 dosyası.
Alt paket indirildikten sonra, alt paketi dinamik olarak yüklemek için yerel yöntemi çağırın.
Stat-impl.jar dosyasının kod yapısı:
Stat-impl.jar alt paketi yüklendikten sonra, com.drudge.rmt.g iş parçacığı başlatılacaktır.İşlevi esas olarak çevrimiçi kaydırma görevini elde etmek ve görevin yürütülmesini zamanlamak için kullanılır.
Kaydırma hacminin ana görevleri şunlardır: 1. Baidu araması için anahtar kelimelere göz atmak 2. Otomatik tıklamaları gerçekleştirmek için js komut dosyalarını kullanmak ve Baidu reklamlarını ve milyarlarca reklamı tıklamak için kaydırmak; 3. Web sayfalarını taramak için web görünümünü kullanmak.
1. Baidu anahtar kelime aramasını kullanın
Bu görev, BAIDUID'nin ayarlanması, yapılandırmanın güncellenmesi, görevlerin eklenmesi, panonun ayarlanması ve Baidu'da arama yapmak için anahtar sözcüklerin kullanılması dahil olmak üzere json dizesini elde etmeye dayalı ilgili işlemleri gerçekleştirecektir.
Anahtar kelimeleri ayarlayın, ilgili url'yi yüklemek için web görünümünü kullanın:
Baidu anahtar kelimelerini kaydırmak için yakalanan web görünümü yükleme isteği:
İlgili görevleri almak için http: //tw.andr****.com: 6080 / wtask / v1 sunucusunu bağlayın ve görevlerin içeriğini / cache / volley dizinine kaydedin:
2. Baidu reklamlarını fırçalamak için js komut dosyasını kullanın
Http://mobads.baidu.com/ads/index.htm dosyasını yüklemek için web görünümünü kullanın ve reklamları otomatik olarak fırçalamak için otomatik kaydırma, tıklama, kaydetme ve diğer işlemleri gerçekleştirmek için yükledikten sonra js komut dosyasını çalıştırın.
İlgili js betikleri.
1) js işlevi, kaydırma, tıklama ve kaydetme gibi işlemleri tanımlar.
Java katmanı, js katmanı tarafından iletilen işlem komutlarını ayrıştırır ve uygular.
2) js işlevi, sayfa öğelerini yargılar ve alır.
3) js işlevi, sayfa öğelerinin göreceli konumunu hesaplar ve kaydırma ve tıklama işlemlerini gerçekleştirir.
Baidu reklamları için yakalanan web görünümü yükleme isteği:
3. Web sayfalarına göz atmak için web görünümünü kullanın
Bu görev, sunucudan ziyaret edilmesi gereken url bağlantısını ister ve ilgili web sayfası url'sini aldıktan sonra, erişim için yüklemek için web görünümünü kullanın.
URL bağlantısının erişilmesini isteyin
URL'ye erişmek için web görünümünü kullanın:
Yakalanan tıbbi tedavi talebi, Fitness Network'ün web görünümü yükleme isteği kadar iyi değil:
Dört, ilgili URL bitirme
Beş, sonuç
Android tarafındaki kötü amaçlı uygulamaların son kötü amaçlı yöntemlerine bakıldığında, kötü niyetli geliştiriciler, Uygulama uygulamalarının doğrudan geliştirilmesinden SDK'ların geliştirilmesine, Android uygulama tedarik zincirinin yukarı akışına geçtiler. Kötü niyetli geliştiriciler, uygulama geliştiricilere kötü amaçlı SDK'lar sağlayarak, bu uygulamaların dağıtım kanallarını yeniden kullanabilir ve bu da kullanıcıların kapsamını etkili bir şekilde genişletebilir. Kötü amaçlı SDK kategorileri ile ilgili olarak, siyah endüstri uygulayıcıları esas olarak kullanıcı tarafından algılanamayan reklam hacmine ve web sitesi hacmine odaklanır.Kod ayırma ve dinamik kod yükleme teknolojisi kullanılarak, gerçek yürütme tamamen buluttan sağlanabilir. Kod, kullanıcının cihazını, güçlü bir gizliliği olan reklam ve web sitesi kazıma gibi yasadışı faaliyetleri gerçekleştirmek için bir "broyler" olarak kontrol eder.
Bu tür trafiğe dayalı siyah üretimin kademeli olarak artması, yalnızca cep telefonu kullanıcılarına zarar vermekle kalmadı, aynı zamanda mobil reklamların hileye karşı önlenmesine büyük zorluklar getirdi.IP, maruz kalma sıklığı, tıklama oranı vb. "Broiler" yapmak için çok sayıda gerçek cihazı kontrol eden bu tür bir hileyi tespit etmek zordur ve uygulama geliştiricilerinin ve reklamcıların meşru haklarını ve çıkarlarını korumak zordur.
* Yazar: Tencent mobil kahya, FreeBuf.COM'dan yeniden basılmıştır.
