Tencent Security'ye göre, Tencent Security Dolandırıcılıkla Mücadele Laboratuvarı, belirli bir SDK'nın Baofengyingyin, Tiantiankan, Tadu Literatürü gibi birçok uygulamaya entegre edildiğini, kötü amaçlı alt paketler indirdiğini ve kullanıcı algısı olmadan js komut dosyalarıyla işbirliği yapmak için webview kullandığını tespit etti. Baidu reklamlarının kötü amaçlı kullanımı.
Kötü amaçlı SDK, birçok uygulama geliştiricisinin çeşitli uygulama dağıtım kanalları aracılığıyla geliştirdiği resmi uygulamalarla on milyonlarca kullanıcıya ulaşmıştır; arkasındaki siyah ürün, kötü amaçlı SDK'nın bıraktığı arka kapıdan on milyonlarca kullanıcıyı kontrol eder ve kullanıcı sayısını dinamik olarak dağıtır. Code, çok sayıda reklam teşhir ve tıklama, çok fazla reklam maliyeti kazandırır ve reklamverenlere büyük bir reklam kaybına neden olur.
Güvenlik personeli tarafından yapılan ayrıntılı bir analize göre, bu kötü amaçlı SDK temel olarak aşağıdaki özelliklere sahiptir:
1. SDK, 1000'den fazla uygulama geliştiricisi tarafından kullanılır ve kullanıcılara uygulama geliştiricilerin dağıtım kanalları aracılığıyla ulaşır. Esas olarak ilgili uygulamalar arasında potansiyel olarak on milyonlarca kullanıcıyı etkileyebilecek olan Palm Tongjiayuan, Baofengyingyin, Tiantiankan, Tower Reading Literature, vb;
2. Kaydırma kuantum paketi birçok kez indirilir ve yüklenir ve kaydırma görevi sunucudan alınır ve web görünümü, kaydırma görevini kullanıcının algısı olmadan otomatik olarak gerçekleştirmek için js betiğini yüklemek için kullanılır.
Bu tür trafik karası üretimi, geleneksel reklamların hileye karşı önlenmesine büyük zorluklar getirmiştir.IP, maruz kalma sıklığı, tıklama oranı vb. Gibi görünüm verilerinin oluşturduğu geleneksel hile önleme stratejisinin, çok sayıda gerçek cihazı kontrol eden kontrol miktarını "broiler" olarak belirlemek zordur. Hile, büyük miktarda reklam maliyetinin siyah endüstrinin eline geçmesine neden oldu, ancak reklamcılara istenen reklam etkisini sağlayamadı.
SDK kötü amaçlı süreç ve etki kapsamı
Bu kötü amaçlı SDK'nın uygulamasına entegre edilen kod parçası gerçek işlevleri sağlamaz, çağrıldıktan sonra cihazla ilgili bilgileri periyodik olarak rapor edecek, dinamik alt paketin indirme bağlantısını alacak, alt paketi indirecek ve yükleyecektir. Daha sonra alt paket, ilgili kötü niyetli davranışı gerçekleştirir.
Kötü amaçlı SDK kötü amaçlı işleminin şematik diyagramı:
Kötü amaçlı SDK'dan etkilenen ana uygulamaların listesi:
Kötü amaçlı SDK davranışının ayrıntılı analizi
Bu kötü amaçlı SDK, birçok küçük ve orta ölçekli uygulama geliştiricisi tarafından entegre edilmiştir.Kötü amaçlı davranışlarını ayrıntılı olarak analiz etmek için uygulama kulesi okuma literatürünü örnek olarak alıyoruz.
Kötü amaçlı SDK kod yapısı
Bu SDK'nın daha az kodu vardır ve gerçek işlevleri yoktur. Yüklendikten ve çağrıldıktan sonra, bir zamanlama görevi ayarlayacak, her 3600 saniyede (1 saat) GatherService'i başlatacak, cihazla ilgili bilgileri rapor edecek ve __gather_impl.jar dinamik alt paketinin indirme bağlantısını alacaktır.
GatherService bağlantı sunucusu, __gather_impl.jar dosyasının indirme bağlantısını alın
Bağlantı isteği: http: //gather.andr****.com: 5080 / gupdate / v1
Veri isteği: kullanıcı kimliği, uygulama paketi adı, cihaz kimliği, uygulama sürümü, cep telefonu üreticisi, model, sistem sürümü, imei, sdk sürümü vb. Dahil.
İçeriği döndür: alt paketin sürümü, indirme url'si, md5 dosyası
İndirilen __gather_impl.jar dosyasını dinamik olarak yükleyin
__Gather_impl.jar alt paketinin kod yapısı. Bu alt paketin ana işlevleri şunlardır: 1. Kullanıcı cihaz bilgilerini yükleyin, 2. Stat-impl.jar alt paketini indirin ve dinamik olarak yükleyin
1), sunucuya bağlanın, kullanıcı ekipman bilgilerini yükleyin
Sunucu bağlantısı: http: //userdata.andr****.com/userdata/userdata.php (bu url analiz sırasında geçersiz kılınmıştır ve bağlanılamaz)
Bildirilen içerik: konum bilgileri (enlem ve boylam), kullanıcı yükleme listesi (yazılım adı, paket adı), cihaz bilgileri (üretici, model, parmak izi, kök veya değil), cihaz kimliği, cep telefonu numarası, operatör, imei, mac vb. Dahil
2) Sunucudan stat-impl.jar dosyasının indirme bağlantısını almasını tekrar isteyin
Bağlantı isteği: http: //iupd.andr****.com: 6880 / wupdate / v1
Veri talebi: uid, imei, sdk sürümü, cep telefonu üreticisi, model, sistem sürümü, uygulama paketi adı, cihaz kimliği, cihaz talimat seti vb. Dahil.
İçeriği döndür: alt paketin sürümü, indirme url'si, md5 dosyası
Alt paket indirildikten sonra, alt paketi dinamik olarak yüklemek için yerel yöntemi çağırın
Stat-impl.jar dosyasının kod yapısı:
Stat-impl.jar alt paketi yüklendikten sonra, com.drudge.rmt.g iş parçacığı başlatılacaktır.İşlevi esas olarak çevrimiçi kaydırma görevini elde etmek ve görevin yürütülmesini zamanlamak için kullanılır.
Kaydırma hacminin ana görevleri şunlardır: 1. Baidu araması için anahtar kelimelere göz atmak 2. Otomatik tıklamaları gerçekleştirmek için js komut dosyalarını kullanmak ve Baidu reklamlarını ve milyarlarca reklamı tıklamak için kaydırmak; 3. Web sayfalarını taramak için web görünümünü kullanmak.
1. Baidu anahtar kelime aramasını kullanın
Bu görev, BAIDUID'yi ayarlama, yapılandırmayı güncelleme, görev ekleme, pano ayarlama ve Baidu'da arama yapmak için anahtar sözcükler kullanma dahil olmak üzere json dizesini elde etmeye dayalı ilgili işlemleri gerçekleştirecektir.
Anahtar kelimeleri ayarlayın, karşılık gelen url'yi yüklemek için web görünümünü kullanın
Baidu anahtar kelimelerini kaydırmak için yakalanan web görünümü yükleme isteği:
İlgili görevleri almak ve görevlerin içeriğini / cache / volley dizininde depolamak için http: //tw.andr****.com: 6080 / wtask / v1 sunucusunu bağlayın
2. Baidu reklamlarını fırçalamak için js komut dosyasını kullanın
Http://mobads.baidu.com/ads/index.htm dosyasını yüklemek için web görünümünü kullanın ve reklamları otomatik olarak fırçalamak için otomatik kaydırma, tıklama, kaydetme ve diğer işlemleri gerçekleştirmek için yükledikten sonra js komut dosyasını çalıştırın
İlgili js betiği
1), js işlevi kaydırma, tıklama, kaydetme ve diğer işlemleri tanımlar
Java katmanı, js katmanı tarafından iletilen işlem komutlarını ayrıştırır ve uygular
2), js, sayfa öğelerini yargılama ve alma işlevi görür
...
3), js işlevi, sayfa öğelerinin göreceli konumunu hesaplar ve kaydırma ve tıklama işlemlerini gerçekleştirir
...
Baidu reklamları için yakalanan web görünümü yükleme isteği:
3. Web sayfalarına göz atmak için web görünümünü kullanın
Bu görev, sunucudan ziyaret edilmesi gereken url bağlantısını ister ve ilgili web sayfası url'sini aldıktan sonra, erişim için yüklemek için web görünümünü kullanın.
URL bağlantısının erişilmesini isteyin
Bağlantı iste
İçeriği döndür
URL'ye erişmek için web görünümünü kullanın
Yakalanan tıbbi tedavi talebi, Fitness Network'ün web görünümü yükleme isteği kadar iyi değil:
İlgili URL harmanlama
Güvenlik tavsiyeleri ve önlemleri
Android tarafındaki kötü amaçlı uygulamaların en son kötü amaçlı yöntemlerine bakıldığında, kötü niyetli geliştiriciler doğrudan Uygulama uygulamaları geliştirmekten SDK geliştirmeye, Android uygulama tedarik zincirinin yukarı akışına geçtiler. Kötü amaçlı geliştiriciler, uygulama geliştiricilerine kötü amaçlı SDK'lar sağlayarak, bu uygulamaların dağıtım kanallarını yeniden kullanabilir ve bu da kullanıcıların kapsamını etkili bir şekilde genişletebilir.
Kötü amaçlı SDK kategorileri ile ilgili olarak, siyah endüstri uygulayıcıları esas olarak kullanıcı tarafından algılanamayan reklam hacmine ve web sitesi hacmine odaklanır.Kod ayırma ve dinamik kod yükleme teknolojisi kullanılarak, gerçek yürütme tamamen buluttan sağlanabilir. Kod, kullanıcının cihazını, güçlü bir gizliliği olan reklam ve web sitesi kazıma gibi yasadışı faaliyetleri gerçekleştirmek için bir "broyler" olarak kontrol eder.
Bu tür trafiğe dayalı siyah üretimin kademeli olarak artması, yalnızca cep telefonu kullanıcılarına zarar vermekle kalmadı, aynı zamanda mobil reklamların hileye karşı önlenmesine büyük zorluklar getirdi.IP, maruz kalma sıklığı, tıklama oranı vb. "Broiler" yapmak için çok sayıda gerçek cihazı kontrol eden bu tür bir hileyi tanımlamak zordur ve uygulama geliştiricilerinin ve reklamcıların meşru haklarını ve çıkarlarını korumak zordur.
Son kullanıcılar için aşağıdaki güvenlik önerileri vardır:
1. Orijinal ve resmi uygulama pazarları tarafından sağlanan APP uygulamalarını olabildiğince kullanmaya çalışın;
2. Mobil cihaz güvenlik güncellemelerinden geçse bile;
3. Gerçek zamanlı olarak korumak için cep telefonu temizlikçisi gibi bir güvenlik yazılımı yükleyin.