黑灰产的廉价“温床”—— APP生成框架

以一款名为“钓鱼生成器”的APP生成器为例，如图12，该生成器可以生成针对支付宝账号与QQ账号的4种不同形式的钓鱼APP，且可指定短信接收账户信息的手机号码。生成的盗号软件以仿支付宝、QQ登录页面诱导用户输入支付宝、QQ账号密码，点击确认后，用户输入的账号与密码将短信发送至预留手机号。

图12 一款钓鱼APP生成器

除手机号外，部分黑灰产APP生成器支持自定义APP名称、图标、启动界面等，配合自动点击脚本能迅速生产出多个具有不同名称或图标等基础表现的黑灰产APP，批量产出大基数黑灰产APP能让黑灰产以极低成本增加市场占有、扩大传播推广，从而吸引更多用户中招。

风险代码注入

APP生成框架对开发者而言相当于“黑盒”，若框架包含风险代码注入行为，由该框架开发的所有APP都会存在对应风险行为，最终受害者都是用户。我们在对APP生成框架进行深入研究时发现，存在打包平台与部分APP生成器利用APP模板向生成的APP注入风险代码的现象。框架风险代码注入会导致风险APP数量与感染用户迅速增加，给用户与设备安全带来严重影响。

打包平台注入用户行为收集代码

为帮助开发者及时了解APP的推广状态，APP打包平台通常会在开发者个人中心提供用户统计数据。我们在对APP生成框架的持续监测过程中发现了一款名为“应用精灵”的APP打包平台存在定期收集额外用户数据的行为。

图13 “应用精灵”开发者可见数据统计页面

“应用精灵”打包平台的主要功能是将网站一键打包成APP，从该平台提供的开发者可见的数据统计页面只能看到APP名称与用户量统计数据，如图13，而实际上，除了用户设备标识外，该平台还在打包APP所使用的模板中加入了用户APP使用行为收集代码，由该平台打包的所有APP都会定期上传用户对该APP的使用时间、时长以及行为数据。

图14 “应用精灵”后台统计APP使用情况

截止到2019年4月，我们共捕获约两万由该平台生成的APP，这些APP覆盖多种应用分类，累计传播量高达百万。在这种情况下，该平台能持续监测到所有安装了这些APP的用户的行为数据。

APP生成器注入广告

除打包平台外，我们在部分APP生成器中也发现了通过模板进行风险广告嵌入的行为。以一个来自QQ群“APP生成器群”的APP生成器为例，这个生成器提供了5种APP模板，每种模板都被嵌入了风险广告代码。

图15 APP生成器支持的模板

由该生成器生成的所有APP开启后主屏内都包含无法消除的横幅广告，如图16，用户无意碰到主屏下部区域后APP会自动下载所列举的全部APP。

图16生成的APP带无法消除的广告

APP生成框架下的黑灰产APP

框架黑灰产APP类别概况

截止2019年3月，在我们捕获到的800万框架APP中，已知黑灰产APP累计三百万+，框架黑灰产APP占框架APP总量40%。通过对2018年框架黑灰产深入跟进后发现，框架开发的黑灰产APP高度集中在盗版多开、黑客工具与色情视频三类，这三类APP数量和在2018年全年框架黑灰产APP总量中占比高达91%，如图17;剩余9%包括博彩、违规借贷、网购欺诈、风险游戏等。

图17 2018年框架黑灰产APP类别分布

框架黑灰产APP重灾区

框架黑灰产APP以盗版多开与黑客工具为典型，这两类占比分别高达47%与34%，其中盗版多开主要针对微信;黑客工具则以刷量和外挂APP为主。

盗版多开

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!