请选择 进入手机版 | 继续访问电脑版

HTML5星空

山寨APP海量来袭:山寨APP背后的黑产收益链分析

[复制链接]
发表于 2020-6-28 21:41:02 | 显示全部楼层 |阅读模式


    概述      


近日,奇安信威胁情报中心掘出一条山寨APP流量推广的灰色产业链,黑产人员通过往热门应用”插包”的方式,植入广告劫持模块进行刷量作弊,当正常用户被诱导安装使用了这些真假难辨的山寨应用后,即可实现对广告主的”薅羊毛”行为。
涉及到的APP达到7245个,影响范围包括豌豆荚应在内的众多大型、小型应用商店,严重危害到开发厂商以及应用商店的利益。



     产业链       


广告变现背景

在详细介绍产业链之前,我们先了解一些关于广告变现的市场背景,再来了解引发黑产兴趣的原因。
据相关行业人员统计,我国在移动广告上的投入是非常巨大的,自然这块美味的蛋糕也吸引着黑产人员的目光。

根据互联网信息,我们可以知道用户量大的APP广告变现转化率应该在1%以上,只要用户量足够大,则广告收益是也是非常可观的。


产业链的实现过程

以下是完整的产业链操作过程。

1. 黑产人员会从各大应用商店收集有一定下载量的应用(一般游戏APP居多)作为山寨的对象。据奇安信Janus平台搜集到的这些下载量巨大的APP都存在着不同程度被山寨的情况,并且发布在豌豆荚平台上。


2. 之后,黑产人员对所收集到的APP进行”插包”,导入广告厂商的SDK来使用其广告接口,接着引入kdssa模块实现播放广告、控制广告收益流向黑产的功能。
3. 黑产人员在各大应用商店上架山寨APP,等待不明情况的用户下载,列举部分下载地址。

4. 热门的山寨app在不同应用商店上被不知情的用户下载使用。
5. 山寨应用运行后通过kdssa模块,把广告收益流在广告平台注册的转向黑产人员账户,黑产人员对广告主的薅羊毛行为就这样被实现。当然,因为强行为被山寨的APP”插包”播放广告的行为会在一定程度上降低用户对APP的评价,这可能造成用户的流失。



    技术分析      


我们分析的样本主要有两个版本。
第一个版本的山寨APP样本是一款名为”战神破晓”的app,首次捕获时间为2018年7月。该版本功能只在应用退出时让用户选择是否下载豌豆荚APP应用,却不会强制用户下载。

一年之后,该家族进行更新演变出了第二个版本,之后开始大量的山寨各种热门应用,从上传时间可以得知其后出现的应用间隔时间非常短。

第二版本的sdk进行了代码的更新,从SDK包结构前后对比,很明显新版的SDK功能进行了扩充。

新增加功能模块的作用是通过入各大广告商SDK,来给应用增加广告模块,然后在启动界面进行展示。

然后在展示广告前,将应用的的APP_ID、package_name、apk_sign等字段替换成黑产人员的数据,从而实现寄生在正规应用内把将广告收益转向自己。

我们根据样本特征“com.kdssa.sdk“,目前发现到目前为止至少存在7245款应用已经遭到黑产进行山寨进行广告的寄生推广。


     黑产人员分析      


在自动化脚本处理完7245个样本数据之后,我们得到的处理结果显示基本上所有的样本修改了应用的入口Activity组件来实现开机广告展示,且所有山寨应用的证书结构基本上一致,再结合代码的结构可以推断出山寨应用的加工过程极大可能由自动化工具生成。

目前,我们检索出比较大型的内应用商店内部至少存在107个山寨应用,且大部分山寨应用都在豌豆荚应用商店。

通过技术分析,我们从黑产人员的山寨手法中了解到,黑产人员利用自己在广告平台申请的唯一ID来标识自己的身份,从广告中获取收益。在Janus平台上使用APP标识SHA_1检索广告收益者,根据检索结果表明,Janus上收录的山寨APP基本上都d使用同一个APP_ID,且我们从VT上抽样下载的样本也都使用这个APP_ID。

所以,我们基本上可以确定广告收益人为同一个黑产人员,而且这个SDK是黑产人员的私有模块而非公开的广告SDK。


    总结      


因此,广大应用开发厂商应该提高APP保护措施,以防止黑产人员进行山寨行为严重损害企业利益。
部分IOC如下:


IOC

e1f9dfc76082516282db6d00897eade6

3b1c9b1a2c6dd1b971cd2ec5b288a2b9

eb2d0a387dcbcebeb3cc5765c4e6eeaa

c3913e83192ee299395985654a00546f

471870889105162878313f3e51715585

367ccbdcf6f7235a3423a51c4d2774a0

b955f68f067311992dc15cfdae8314ea

919c77a66808162a0cddcaa7a3dc518a

cd79abec5400047595fafceac6dcb4a8

aba96ac927cd2b68cd0f856c5cea1f69

2a57dcda25b0d3e96a42cbeba4f614d9

4c362f5c1dbfb9a6c057c1d640f250e2

d0286f66db7756f3691efa4b118af3c1

9098a3c057567ac4d30ce4b8c353c6cb

c39d273483e1b0f73ffba65aa97507ae

ad1dcdaea2e8bd78a4cece867f5695d6

c07ae57a8c254084964e6e5ffba6e14a

9bbf5afe3ebbe983434a8af4db2a6201

51a69b9103ec637ca3d4686f9e5745dd

dbb8516e37e8737ffddbb040f9a34f67

8777c6345d76fec195635d745cbea83a

88285ee7c01ddedfb369d0bd2bcb3178

53966bdb3ff8d6d0f0cba70ca7d1fd41

c881a68401eb213b4feba9e249e9d792

55da7a1b3df4d848e3aadce77bdd1edd

ab3b6b626e31711dcb00e702a4997e9c

8a5b4529c9026c53db2b9e445b2865e1

d2ed3795cab69ae6c7e6f04028675613

28493613f1f05f368b509c576cd00b9c

31cc1e4e5090ba292b3338db91a1a546

d279db581a08f7f735380b940b2ae2da

452fecd9f9961bdbba7c9781c63ee7fc

e0b97f5b1a6e08bb96dc70dd8031aeeb

064de4b0c65011ede8bde34d8e9719e9

5a0b4cf99119dff38e50b188f4e12ec8

afc2576f7f46aa7398586e9eec4b523c

f0662fa84401de9ecdec5b313d601dac

c718049f51d37ef82cdc35876dd23476

c10bc336c6e6006c0394c64ee2ea5a41

e84873642ba710055c8f33a1d18e20bb

b2391e8090b97892652f919c6ed206ec

2a10e9e9da75d718b9d304f9d6e3db82

b82a5e4d531325ff8c464caee30938b0

5cfd45ed99c8d378a7ec03b163c07457

48dfbca2c4d8dce6cc3bdb1e7dded2bf

b136f3c9a5a712506b80b5336b895eb1

24f3c6f682d702c2bb6ae9725492930c

b3a6b3a63f2bc3a04a23c9345656e3ea

9362b9e857a26170e4cdad67a8012532

4868008a87fe616d52a3363873743507

4847c0ef06ee109c2d621b9b79d49830

8a3d4ed60a115d0a8364a5f04b9e2811

0815db58254ecd1bb29bafabb2d628de

6db24a16282417cdca0be7350e0d8222

a41abb14c15656870610f73de19f8e09

4254ed1c797fcedf2109f2eeccc375a8

a3a8b795e6185a0b8c2a6423a7852b88

5039f9134cf0af821beb8b99c3829f62

0b220c4fd22bdf3a85edb68f54f8cc67

33e6d3565e4e354af37d6d3d978f3745

18447d152b1e72e3b370d0fbc2fcec7f

7fa3f8bdf52c96fea8b2587319735443

f8ff130567b5d9358c8fc027cbbc8fbe

f02f5d703faf0ea89e16fb97aa41938d

d409acabdd5e7e56da91c1e86883cb3d

71e1f74e626245414a00a21f6551654f

27c009a26013fb8d6dcf529a809fa5fc

23662fa0b9fe7d9dbeca0cf32d020bb1

4d4a4bf1ad217b817d4748c77599087b

fe68d64d9a249a3f9aa05377a93d510c

31d4ba8566de5762ebe452e7c3ae440a

02e6e2a2f254b2c31dd083fd85fa5b40

384f9ff296395f72c222b08df2ec0571

a0e8d66e265dcfcbd6349045fbfabec0

ce8d8e03ad5edb92d58923acbec5068e

98dd62763ee3a7f834e22ac5872e7a7b

f66c99110a873f448fd924029cbbbf3f

50cd068600dae96b1d464722940a3af8

90e908b985f37c71ea485c5632e11478

ce02ac46a8367a8c1638f9076bef0172

8a43aa271f5b89e517035ed358be298f

a12fae872b35225123d8660f150880dd

d8ab07773306c7fba4c61d6421660816

0312e6ce43a06289be72ddc8eb0cf8b0

3367d72244de593e2deeb38dee79b762

3ed86f910567d779af72f64a90851b74

f18b0bff099121ee405f713d8732b376

3f2bc62d7925ce4b7dda435c5e28bc1e

997e328f0a0fd154aaab7a5d053a4000

45e2c00ba4dc9bb7b3b66135047e860c

f8f199991054908166b1c4222a72fb77

5139eb0dab85734df809b0073c21f15d

e23fa0a36fffb55a57756421739667bc

561751b81b1584cfa4951cd30e897ce4


文章转载自奇安信威胁情报中心

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

更多资源及Java+大数据个人原创视频,
可关注本站官方公众号观看:
快讯

     京ICP备14042305号

html5star team © 2012-2013 html5星空 Comsenz Inc.

GMT+8, 2020-7-12 05:19 , Processed in 0.264861 second(s), 36 queries .

快速回复 返回顶部 返回列表