2018年4月腾讯安全曝光了“寄生推”,揭开了流量黑产的面纱让大众了解到黑产正逐步隐藏到幕后,通过伪装正规SDK的方式借助大众开发者触达用户,然后动态下发指令通过恶意广告和应用推广,赚取广告推广费用实现灰色牟利。
无独有偶近日,依托腾讯安全大数据腾讯安全反诈骗实验室追踪到暴风影音、天天看、塔读文学等众多应用中集成的某SDK存在下载恶意子包,通过webview配合js脚本在用户无感知的情况下刷百度广告的恶意操作
该惡意SDK通过众多应用开发者所开发的正规应用,途经各中应用分发渠道触达千万级用户;其背后的黑产则通过恶意SDK留下的后门控制千万用户动态下发刷量代码,大量刷广告曝光量和点击量赚取大量广告费用,给广告主造成了巨额广告费损失
根据安全人员详细分析,此恶意SDK主要存在以下特点:
1、该SDK被1000+千应用开发者使用通过应用开发者的分发渠道抵达用户。主要涉及的应用包括掌通家园、暴风影音、天天看、塔读文学等潜在可能影响上千万用户;
2、刷量子包通过多次下载并加载,并从服务器获取刷量任务使用webview加载js脚本实现在用户无感知的情况下自动化的进行刷量任务。
此类流量黑产给传统的广告反***带来了极大挑战传统通过IP、曝光频率、点击率等表象数据形成的反***策略难以识别这种控制大量真实设备做’肉鸡’的刷量***,使得大量广告费用流入黑产手中却无法给广告主带来应有的广告效果。
二、SDK作恶流程和影响范围
此恶意SDK集成在应用中的那部分代码没有提供实际功能其在被调用后会定时上报设备相关信息,获取动态子包的下载链接下载子包并加载调用。然后由子包执行相应的恶意行为
恶意SDK作恶流程示意图:
受恶意SDK影响的主要应用列表:
|
2、使用js脚本刷百度广告 使用webview加载/ads/,这些策略并未显示DU Global正在收集用户的数据甚至如Selfie Camera的隐私政策声称它不收集个人数据,但实际Selfie Camera则从用户处收集设备ID
②、虚报或隐瞒其所有权 —–有问题的应鼡程序违反Play商店开发者政策,没有向用户透露与DO Global的任何关联关系在谷歌的Play商店中,以上所有应用程序(AIO手电筒除外)都将其开发人员列為“Pic Tools Group(照片编辑器工具集团)
—–“对用户的权限请求必须合情合理。您只能请求应用现有关键功能或服务所需的权限不得为了未公開、未实施或不被允许的功能或用途而请求访问用户或设备数据。” —–DO Global的AIO手电筒获得了31个权限其中7个属于危险组。另一款来自APUS的Emoji手电筒有超过500万次***获取了30个权限,其中7个属于危险组这些权限的获取远远超过应用运行所需。Play商店中其他类似的手电筒应用实际上只獲得了两个权限就可以实现手电筒功能
—–我们不允许任何应用试图欺骗用户或促成不诚实行为。应用必须提供准确的功能说明并按鼡户合理预期的方式运行。应用不得试图模仿操作系统或其他应用的功能或警告对设备设置的任何更改必须在用户知情并同意的情况下進行,而且必须提供简单的方式可让用户撤消更改
Point的研究人员发现该应用程序包含的代码会导致它在用户不知情的情况下以欺诈方式点擊应用中的广告,包括对谷歌运营的AdMob和Twitter运营的MoPub提供的广告所生成的虚假点击甚至当应用程序未打开时也会发生欺诈性点击,从而导致手機耗尽电量并消耗数据其他Do global的5个应用程序也都发现了虚假广告点击。 除了上述虚假点击欺诈外Method Media Intelligence的研发人员还在Selfie Camera中识别出可以启用应用歸因广告欺诈的代码,通过虚假归因欺诈Do global可以把用户自然***的游戏或者由其他渠道方推广产生的用户***,误导AppsFlyer、Kochava等归因监测平台鉯把用户下载***的功劳记录到Do |