恶意SDK无感刷百度广告，成千上万的应用植入影响成千上万的用户

一、概要

2018年4月，腾讯安全曝光“寄生推”，揭开流量黑色生产面纱，让公众了解黑色生产逐渐隐藏在幕后，通过伪装常规SDK，借助公众开发人员接触用户，然后动态指令，通过恶意广告和应用推广，赚取广告推广成本，实现灰色利润。巧合的是，近日，腾讯安全反诈骗实验室依托腾讯安全大数据，跟踪了暴风影音、天天看、塔读文学等众多应用中集成的SDK下载恶意子包，并通过webview与js脚本合作，在用户不知情的情况下刷百度广告。

恶意SDK通过许多应用程序开发者开发的正式应用程序通过应用程序分销渠道达到数千万用户；其背后的黑色产品通过恶意SDK留下的后门控制数千万用户，动态发布刷代码，大量刷广告曝光和点击，赚取大量广告成本，给广告商造成巨大的广告成本损失。

根据安全人员的详细分析，恶意SDK主要具有以下特点：

1.SDK10000 千个应用程序开发人员使用它，并通过应用程序开发人员的分销渠道到达用户。主要应用包括棕榈家园、风暴视频、每天阅读、塔阅读文学等，可能会影响数千万用户；

2.刷量子包多次下载加载，从服务器获取刷量任务，使用webview加载js脚本在用户无感知的情况下自动刷量任务。

这种流量黑生产给传统的广告反作弊带来了巨大的挑战，传统的IP、由曝光频率、点击率等外观数据形成的反作弊策略难以识别控制大量真实设备的“肉鸡”刷作弊，使大量广告成本流入黑人生产，但不能给广告商带来应有的广告效果。威客zK。

二、SDK作恶过程及影响范围

该恶意SDK集成在应用程序中的代码没有提供实际功能。调用后，定期报告设备相关信息，获取动态子包的下载链接，下载并加载调用。然后由子包执行相应的恶意行为。

恶意SDK作恶流程示意图：

受恶意SDK影响的主要应用列表：

三、详细分析恶意SDK作恶行为

这种恶意SDK是由许多中小型应用程序开发人员集成的，我们以应用塔阅读文学为例，详细分析了其恶意行为。

恶意SDK代码结构：威客猫。

这个SDK代码少，没有实际功能。加载调用后，将设置定时任务，每3600秒(1小时)启动GatherService，报告设备相关信息，获取动态子包__gather_impl.jar下载链接。威客运动。

GatherService链接服务器，获取__gather_impl.jar下载链接。

北京万威客。

请求链接：http://gather.andr****.com:5080/gupdate/v1。

请求数据：包括uid：、应用包名和设备id、应用版、手机制造商、型号、系统版本imei、sdk版本等内容。

返回内容：包括子包版本，下载url、文件md5。

动态加载下载___gather_impl.jar。

乌鲁木齐威客。

子包__gather_impl.这个子包的主要功能是jar代码结构：

1、上传用户设备信息，2、下载并动态加载子包stattat-impl.jar。共创威客。

维客下载。

1)链接服务器，上传用户设备信息

服务器链接：http://userdata.andr****.com/userdata/userdata.php(此url在分析过程中失效，无法链接)。

报告内容:包括位置信息(经纬度)、用户安装列表(软件名、包名)、设备信息(制造商、型号、fingerprint，是否root)，deviceid、手机号码，运营商，imei、mac等。

上海威客。

2)再次要求服务器获取statat-impl.jar下载链接。

请求链接：http://iupd.andr****.com:6880/wupdate/v1。全国xj威客。

请求数据：包括uid：、imei、SDK版本、手机制造商、型号、系统版本、应用包名、设备ID、设备指令集等内容。

返回内容：包括子包版本，下载url、文件md5。

下载子包后，调用native动态加载子包。

stat-impl.jar的代码结构：

stat-impl.jar子包加载后，线程com.drudge.rmt.g将启动，其功能主要用于网络获取刷量任务，并调度任务的执行。

刷量的主要任务包括：

1、刷百度搜索的关键词，2、使用js脚本实现自动点击、滑动刷百度广告和1亿广告点击，3、使用webview刷网页访问。

1.搜索百度关键词搜索百度关键词

该任务将根据获取json字符串进行相应的操作，包括设置BAIDUID、更新配置，添加任务，设置剪切板，使用关键字刷百度搜索。

设置关键字，使用webview加载相应的url：

刷百度关键词的webview加载请求：

http链接服务器://tw.andr****.com:6080/wtask/v1获取相关任务，并存储任务内容[package]/cache/volley目录：

2.用js脚本刷百度广告

使用webview加载httpp://mobads.baidu.com/ads/index.htm，并在加载完成后执行js脚本实现自动滑动、点击、保存等操作，自动刷广告。

相关js脚本。

1)js函数定义滑动、点击、保存等操作。

Java层分析并实现Js层传输的操作命令。

2)判断js函数并获取页面元素。

3)js函数计算页面元素的相对位置，并滑动和点击。

刷百度广告的webview加载请求：

3、使用webview刷网页访问

该任务要求服务器访问URL链接，在获得相应的网页URL后，使用webview加载访问。

需要访问的url链接请求

要求链接http://us.yiqimeng.men:8080/geturls?k=beike-xinshiye&c=5返回内容[""""http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaa9YWPVa8EXTqOmHUxhSnj75xhAS7f6tveQsphsCm3jc9xrhV4Rzgm/QqzCVcw2dvukMqw25Q=u0026__t=1511190410","http://m.xinshiye.cc/cars/17/10/11/234818.html?content_id=23480026key=NzLZyHQXSCDPS6bkAWab2LSzd2XApbGOJYUuN+m4PFsowk1l/NZSD8M1yp1cuhz/dl0uoNG93TV8ai6ze+Qw==u0026_t=1511190560","http://m.xinshiye.cc/cars/17/11/26/1769446.html?content_id=176946u0026key=8KLxL1fm2gwndxqt6nsssabq07kcezrhbrekhznsjcnag1nzmbw49pQ3eayJfmemlwssx4kzdlix37fs9g=u0026__t=1513046929","http://m.xinshiye.cc/cars/17/10/31/1444661.html?content_id=1444610026key=modvhDy0zyzbgH1G6stwdyXqiy3D7pdfymsirda6s5+W8tarfidpjuht3mkqeMMDKzKr+FVC2Py2gzsNkMniHw==u0026_t=1509589907","http://m.xinshiye.cc/cars/17/12/09/1921549.html?content_id=19215490026key=0xfxcx0bn4k/w5/qvlSIOCREQEWoJ5jimqn+ZAEJIwksQzydyT0AZFAZJAritm3hpgza4TFNlONZDtoY+fTA==u0026_t=1513045278"]

使用webview访问获得url：

全国xj威客

捕获的刷求医不如健身网的webview加载请求:

四、整理相关URL

五、结语

从最近Android端恶意应用的作恶手法来看，恶意开发者更多地从直接开发App转向SDK开发，转向Android应用供应链的上游。恶意开发者通过向应用程序开发者提供恶意SDK，可以重用这些应用程序的分发渠道，有效扩大影响用户的范围。在恶意SDK的类别中，黑人从业者主要关注用户无意识的广告刷和网站刷，通过使用代码分离和动态代码加载技术，可以完全从云实施代码，控制用户设备作为“肉鸡”广告、网站刷黑人行为，具有很强的隐蔽性。

这种流量黑产品的逐渐增加，不仅对手机用户造成了伤害，也给移动广告的反作弊带来了巨大的挑战。传统基于IP、由曝光频率、点击率等外观数据形成的反作弊策略难以识别控制大量真实设备的“肉鸡”刷作弊，难以保护应用程序开发者和广告商的合法权益。

本文心得: