随着互联网广告业务逐渐迁徙到移动智能终端及APP应用场景,成为当前移动互联网最主要的商业变现模式之一,广告业态在发展过程中也滋生了大量依附于移动风险应用和移动恶意代码的黑灰产广告及流量变现的产业链,引发一系列的安全问题,不仅侵害了个人用户的权益,也直接侵蚀、破坏了整个良性的开发者生态。
当前,无论是监管部门、手机厂商还是安天移动安全都在持续关注移动恶意广告乱象问题,安天移动安全在持续检测中发现,在流量利益的驱使下,有些开发者试图通过各种技术手段进行对抗,不仅做技术对抗,而且还做审核对抗,玩起了猫鼠游戏。
本次分享的问题为开发者试图利用过审函数、虚假功能弹窗进行对抗的行为,以期引起业界的关注和讨论。
1、有些开发者存在侥幸心里,利用过审函数,通过云控方式进行对抗,在过审后通过改变云控开关的方式恶意推送广告,获取不正当利益;
2、通过随机生成虚假数值和硬编码手段,实现外弹虚假的内存优化、清理界面等功能弹窗,试图蒙蔽和绕过审核,诱导用户点击达到其恶意推送广告的目的;
01 WIFI安全卫士新旧样本对比
我们发现一款名为WIFI安全卫士的应用利用过审函数,通过云控方式进行对抗,在对该应用多个版本进行分析后,确认该应用的V2.2.0版本开始植入过审函数代码,从V2.2.4版本开始正式使用该功能,分析细节如下:
WIFI安全卫士V2.2.4 手动调用此activity可以弹出广告,在调用落地页之前会经过一个判断函数来判断是否为过审模式,如果是过审模式则不启动外弹。
通过特定字段来判断是否为过审模式。
应用市场再上架新样本调用了该过审模式的函数,旧版本没有调用。
继续跟踪应用市场再上架样本,可以看到一个js调用函数中最终调用了设置过审字段函数,并将其中的字段设置为True (过审模式)不显示外弹广告。这个函数可以由网络包传输的js代码控制,疑似只有在应用审核期间服务器才会下发js脚本文件设置进行对抗开关。
在落地页展示之前还有一个判断开关,这个开关判断关键在于外弹广告的展示策略。
开关由四个参数组成,只有这四个参数都为true,才能最终展示外弹广告落地页,第一个策略为应用在后台时才弹出广告
当此应用在后台时,将此参数设置为true。
第二个参数为外弹广告展示状态开关,可以通过网络发包来修改此参数。
第三个参数为外弹广告已展示次数小于限制次数,默认限制次数为5,大于5次则不展示
第四个参数为外弹广告间隔的时间判断,弹出广告时间间隔需大于10分钟
以上加载外弹广告的开关代码都在一个定时器中,这个定时器每隔五分钟执行一次以上的代码,进行各种条件判断最终来确定是否展示外弹广告,定时器时间可以通过网络发包控制。
可以通过网络发包来修改各种判断条件。
动态分析过程中均未能抓到相关数据包,此样本仅安装情况下不会外弹广告,需要网络发包动态修改其中的标志位才会外弹广告。
现在来看之前的版本:WIFI安全卫士2.2.0
手动调用此activity可以弹出广告,手动查看调用链发现,这个设置过审模式的函数未被调用。
对比两个样本的包结构来看,都含有设置过审模式的函数,老版本不能调用这个函数,再上架版本可以调用这个函数。
02 手机管家极速版分析
手机管家极速版V1.3.031
外弹内存优化弹窗,弹窗内存占用数值为随机生成,如下图所示:
03极速垃圾清理大师
极速垃圾清理大师V1.9.916
该应用软件外弹清理界面,数值为开发者设置的定值87%。如下图所示:
数字内存已超87%,代码可以看到是定值;
开发者试图利用技术手段进行对抗,恶意推送广告的行为,严重影响了用户的正常使用体验,侵蚀、破坏了良性的开发者生态。作为网络健康生态助推者,安天移动安全将持续关注和披露当前移动应用中涉及的恶意广告行为,及其相关典型问题和现状,以期望引起业界的关注和讨论。
安天移动安全愿和各方一道共同促进移动互联网环境持续向好,为开发者提供更加专业的产品安全辅导和配套服务,不断提升开发者安全运营水平,联合建立行业规范,助力网络安全新格局建设。
免责声明:本站部分作品来源于互联网,由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议,更不为其版权负责。如有对本站内容有任何问题,请联系我们邮箱: kejiquan@vip.qq.com 会在第一时间处理。丨本文信息:科技圈 » 安天移动安全针对APP过审函数、虚假功能弹窗做技术分析
