黑灰產的廉價“溫床”—— APP生成框架
總體態勢
APP生成框架是指無需復雜技術編程即可實現APP開發的一種框架。使用APP生成框架開發APP能極大簡化開發步驟、縮短開發周期并在一定程度上節約開發成本,因此越來越多有開發需求的人成為APP生成框架的用戶,其中不乏眾多黑灰產從業者。
360烽火實驗室在對Android黑灰產的持續監測中發現,越來越多黑灰產開發者傾向于使用APP生成框架來開發黑灰產APP。自2016年起,我們在勒索軟件黑產研究中就發現了大量使用Android易語言(E4A)一鍵生成的勒索APP,而事實上,E4A只是市場上眾多APP生成框架中的一種,近幾年我們陸續收集了數萬種APP生成框架,同時更是捕獲到了上百萬利用這些APP生成框架開發的黑灰產APP。
圖1顯示了2014-2018年全年黑灰產APP總量中框架開發黑灰產APP的占比情況,自2016年開始,框架開發黑灰產APP數量與占比開始激增,到2018年,全年黑灰產APP總量中22%均由框架開發。從框架開發黑灰產APP占比變化來看,黑灰產APP整體呈現框架化趨勢,APP生成框架在幫助眾多用戶實現開發夢的同時也給黑灰產提供了一種成本低廉的APP生產途徑。
圖1 2014-2018年框架黑灰產APP在全年APP總量中的占比
APP生成框架介紹
APP生成框架分類
APP生成框架不限于某一特定形式,可以是APP、SDK、打包、開源工具、支持庫等,通過這些形式,開發者可以零編程或少編程快速生成APP且生成的APP代碼結構高度一致、重復率極高,我們將這些不同的形式統稱為框架。
不同形式的框架在使用方式與實現原理上有所不同,目前我們收集到的框架主要可以歸為五大類:
圖2 五類APP生成框架的典型特征
一鍵打包
一鍵打包的實質就是將對應的網址、接口或腳本套入給定的APP模板生成Web應用,根據使用上的差異可細分為直接打包與DIY打包,對比于直接打包,DIY打包能自定義界面與組件樣式,在APP展示設計上更加靈活。打包平臺通常會根據APP種類提供豐富的模板供用戶選擇,如電商模板、社區交友模板等。一鍵打包是典型的零編程APP生成框架,但通常要求開發者已具備相應網站、店鋪或網頁腳本,且在APP樣式上相對固定。
開源工具&庫
開源工具或庫(以下簡稱“工具庫”)分別以工具APP形式安裝至手機或作為SDK嵌入APP中,封裝Android原生API,以更易于使用的方式為開發者提供各種APP開發功能接口。與一鍵打包相比,工具庫框架在功能性與形式多樣性上都更加強大,且成熟工具庫通常易于找到很多源碼庫提供功能支持,但使用工具庫框架需要開發者具備一定代碼編寫與閱讀能力,整體使用難度略高于一鍵打包。
插件化框架
插件化框架是通過反射、Hook與動態加載機制,利用殼APP以插件形式加載真實APP并運行的框架形式。插件化框架開發同樣需要開發者具備一定編碼能力,利用插件化框架開發APP需要實現兩部分:殼APP與真實APP,殼APP與真實APP沒有固定對應關系,即殼APP可以加載任意真實APP,真實APP也可以由任意殼APP包裝,這一特性被廣泛用于APP批量開發。
外包框架
不同于其他“工具化”框架,外包框架是將開發需求提交給外包平臺,由平臺實現APP開發的框架形式。與傳統外包不同,外包框架開發的APP代碼結構高度一致、功能重復率極高、呈現典型框架化特點。我們收集的外包框架全部來自國外,且其中絕大多數僅承接特定種類APP開發。
APP生成器
除了以上4類框架,我們還發現了一種特殊框架——APP生成器。APP生成器一般來自各類貼吧、論壇或QQ群,是一鍵打包框架的一種特例,與常規一鍵打包不同的是APP生成器本身就是一個APP,在安裝到手機后一般只能用于一鍵生成特定種類的APP,通常是特定灰黑產APP。
圖3給出了由以上五類框架開發的APP的數量分布情況,工具庫在框架化開發中最為常用,其次為插件化框架與一鍵打包,三者總占比高達92%;由于開發周期長與費用高,極少有開發者會選擇外包框架。
圖3 由五類框架開發的APP數量分布
APP生成框架使用概況
APP生成框架由來已久,早在Android系統發布后不到兩年,各種Android框架化開發工具便相繼出現并快速傳播,截至2019年初,框架生成樣本總量已高達800萬。
360烽火實驗室最早捕獲的框架APP出現于2011年,2011年框架APP總量僅1000+,在全年APP總量中占比僅0.5%。自2011年之后,框架APP數量逐年遞增,特別是從2016年開始,每年全年APP總量中框架APP占比急速增大,根據數據統計結果,2018年框架APP占比已高達7.3%,如圖4。
圖4 2011-2018年框架APP數量及在全年APP總量中的占比
截至2019年3月,我們共收集了2萬+種APP生成框架,包括40種一鍵打包框架、11種工具庫框架、7種插件化框架、12種外包框架以及2萬余種APP生成器,由這些框架開發的APP數量存在巨大差異。我們統計了目前使用頻率較高的十種APP生成框架及其生成的APP總量,如圖5,目前工具庫框架E4A是被使用最多的APP生成框架,其次是插件化框架DKModel與DroidPlugin,三者數量均超過80萬。
圖5 APP總量TOP 10框架及其APP數量
框架APP類型分布
我們對兩萬余種框架生成的APP進行了分類,如圖6,工具類在框架APP中占比高達69%,網商、游戲與門戶網是僅次于工具類的APP類別。在工具類中,約71%為黑客工具與即時通訊APP,影音播放器、金融APP(投資理財、借貸)等也占據相當數量。
圖6 框架開發APP類型分布
從全量角度看,占比最高的APP類別為黑客工具、即時通訊與網商,三者在全量框架APP中的占比分別為38%、16%與15%。黑客工具主要包括代刷代掛、免流、游戲外掛、釣魚、勒索等主流黑灰產工具;即時通訊則主要為微信與QQ多開;網商包括各類電商APP,其中以非知名電商APP為主。
框架平臺運營模式與安全隱患
運營模式轉型
在我們收集到的框架中,部分一鍵打包與工具庫框架由相應官方平臺提供打包服務,框架平臺多數會同時提供免費與付費服務,付費服務比免費服務支持更多功能,付費越多,能實現的功能越強大。如圖7,一款名為“快打包”的網站提供的三級打包服務,不同等級的功能差異體現在動態效果、支持插件甚至用戶隱私權限等多個方面,盡管如此,低級甚至免費服務所提供的功能足以用于生成基礎APP,對于追求低成本或對APP質量要求低的開發者而言,使用低價或免費版來進行APP開發已足夠。
圖7 快打包三級打包服務
在這種模式下,單一售賣APP打包服務的經營模式盈利有限,再加上市場競爭壓力大,傳統框架平臺難以帶來理想收入。從2018開始,陸續有APP框架平臺停止服務,而部分平臺逐漸開始經營模式轉型,除了售賣APP打包服務外,開始融合多種傳統增值服務,如軟件著作權代辦、應用包上架等,同時開放代理通道,將框架作為產品銷售,因此出現了明明是一套代碼,但框架名稱與官方平臺地址卻不一樣的情況;此外,部分框架平臺引入了廣告聯盟,幫助開發者利用廣告變現,以此吸引更多開發者。
安全隱患
框架平臺在提供APP生成服務的同時帶來了多種安全隱患,首先,框架平臺缺乏APP圖標、名稱等審核機制,存在盜用已有APP名稱或圖標的問題,從而造成對正版APP的侵權;其次,多數框架在生成APP時,即使該APP沒有進行用戶隱私獲取、收發短信等操作,框架會將這些風險接口直接暴露在所生的APP中,一旦接口被惡意程序利用可能會帶來用戶隱私信息泄露等風險;此外,框架平臺經營模式的轉型又帶來了新的隱患,一方面框架平臺在售賣軟件著作權代辦與應用包上架服務時,沒有明確必要的APP安全規范,任何APP只要通過應用市場的安全檢測都可以成功辦證或上架,而部分框架APP本身就有繞過安全檢測的特性,因此存在惡意APP拿到軟件著作權或成功上架的風險,圖8為一款名為“變色龍”的打包平臺提供的軟件著作權代辦服務;另一方面,如果框架或框架APP出現安全問題,框架代碼轉賣也會給責任歸屬判斷帶來一定干擾。
圖8 變色龍平臺軟件著作權代辦服務
APP生成框架生態惡化
APP生成框架的初衷是幫助缺乏一定開發能力或成本的用戶完成APP開發,但隨著APP生成技術的普及與黑灰產開發、推廣需求量的增大,APP生成框架逐漸被黑灰產廣泛用于黑灰產APP生產。目前APP生成框架生態問題重重:其一,部分框架被黑灰產開發者濫用,由這些框架開發的劣質、黑灰產APP數量遠多于優質、安全APP;其二,部分框架本身就“動機不純”,專為批量生產黑灰產APP而生,這些框架包括數萬計黑灰產APP生成器;此外,還出現了APP框架風險代碼注入的現象,由此生成的APP安全性令人擔憂。
正規框架被濫用
我們對除APP生成器外的四種框架的黑灰比進行了統計,如圖9,四種框架下APP黑灰分布呈現兩極化特點:插件化與工具庫框架APP中黑灰產APP占比遠高于一鍵打包與外包框架,黑灰比最高的插件化框架黑灰比高達77.0%,而外包框架黑灰比僅0.5%。在四種APP生成框架中,正規插件化框架與工具庫框架被濫用的現象最明顯。
圖9 四類框架下APP黑灰比
相對于插件化與工具庫框架,一鍵打包框架主要針對HTML5與WebAPP,APP生產前通常需要具備現成的網站或腳本等先決條件,而外包框架又成本過高,黑灰產開發者顯然更傾向于選擇功能更多樣化、成本更低且能更快捷進行批量產出的框架。
在插件化框架“殼-真實APP”的模式下,黑灰產開發者不僅能給任意APP加任意自定義的殼快速形成新的APP,且安全殼應用能夠隱藏動態加載的真實APP的惡意靜態特征,增加黑灰產APP繞過安全廠商或應用市場安全檢測的可能性;而對于工具庫框架,除了擁有類似Andorid原生開發的強大功能,以IAPP、E4A、按鍵精靈等為首的部分工具庫框架能以APP的形式安裝到手機,開發者無需環境搭建,以“堆積木”的極簡方式就能完成APP開發,對于成熟工具庫框架,從相關技術社群能找到十分全面的功能源碼庫,包括相當多外掛破解、視頻與隱私竊取等源碼。
工具庫框架與插件化框架在黑灰產批量打包上的優勢使其成為框架濫用重災區,在這兩類框架中又分別以IAPP、VirtualAPP最為典型。截止到2019年3月,由IAPP與VirtualAPP開發的APP中黑灰比分別高達90%與81%,使用這兩個框架開發的黑灰產APP數量已遠遠超過安全APP數量,其中IAPP框架下主要以代刷、外掛等黑客工具為主,VirtualAPP框架下則以盜版多開APP為主。
對于IAPP框架,黑灰產源碼資源極其“豐富”,以某IAPP技術社區為例,該網站提供了大量IAPP功能源碼,其中絕大多數都是黑客工具源碼。
圖10 某IAPP技術社區源碼區
黑灰產APP生成器
與正規框架被濫用不同,黑灰產APP生成器本身就是為生產黑灰產APP而生。截止到2019年3月,我們共捕獲了2萬+個黑灰產APP生成器,這些APP生成器沒有官網,一般通過QQ群、論壇或貼吧進行傳播。特定APP生成器僅適用于生成特定種類黑灰產APP,在我們捕獲到的APP生成器中以鎖機和釣魚APP生成器為主,如圖11。
圖11 黑灰產APP生成器類別分布
以一款名為“釣魚生成器”的APP生成器為例,如圖12,該生成器可以生成針對支付寶賬號與QQ賬號的4種不同形式的釣魚APP,且可指定短信接收賬戶信息的手機,盜號軟件以仿支付寶、QQ登錄頁面誘導用戶輸入支付寶、QQ賬號密碼,點擊確認后,用戶輸入的賬號與密碼將短信發送至預留手機號。
圖12 一款釣魚APP生成器
除手機號外,部分黑灰產APP生成器支持自定義APP名稱、圖標、啟動界面等,配合自動點擊腳本能迅速生產出多個具有不同名稱或圖標等基礎表現的黑灰產APP,批量產出大基數黑灰產APP能讓黑灰產以極低成本增加市場占有、擴大傳播推廣,從而吸引更多用戶中招。
風險代碼注入
APP生成框架對開發者而言相當于“黑盒”,若框架包含風險代碼注入行為,由該框架開發的所有APP都會存在對應風險行為,最終受害者都是用戶。我們在對APP生成框架進行深入研究時發現,存在打包平臺與部分APP生成器利用APP模板向生成的APP注入風險代碼的現象。框架風險代碼注入會導致風險APP數量與感染用戶迅速增加,給用戶與設備安全帶來嚴重影響。
打包平臺注入用戶行為收集代碼
為幫助開發者及時了解APP的推廣狀態,APP打包平臺通常會在開發者個人中心提供用戶統計數據。我們在對APP生成框架的持續監測過程中發現了一款名為“應用精靈”的APP打包平臺存在定期收集額外用戶數據的行為。
圖13 “應用精靈”開發者可見數據統計頁面
“應用精靈”打包平臺的主要功能是將網站一鍵打包成APP,從該平臺提供的開發者可見的數據統計頁面只能看到APP名稱與用戶量統計數據,如圖13,而實際上,除了用戶設備標識外,該平臺還在打包APP所使用的模板中加入了用戶APP使用行為收集代碼,由該平臺打包的所有APP都會定期上傳用戶對該APP的使用時間、時長以及行為數據。
圖14 “應用精靈”后臺統計APP使用情況
截止到2019年4月,我們共捕獲約兩萬由該平臺生成的APP,這些APP覆蓋多種應用分類,累計傳播量高達百萬。在這種情況下,該平臺能持續監測到所有安裝了這些APP的用戶的行為數據。
APP生成器注入廣告
除打包平臺外,我們在部分APP生成器中也發現了通過模板進行風險廣告嵌入的行為。以一個來自QQ群“APP生成器群”的APP生成器為例,這個生成器提供了5種APP模板,每種模板都被嵌入了風險廣告代碼。
圖15 APP生成器支持的模板
由該生成器生成的所有APP開啟后主屏內都包含無法消除的橫幅廣告,如圖16,用戶無意碰到主屏下部區域后APP會自動下載所列舉的全部APP。
圖16生成的APP帶無法消除的廣告
APP生成框架下的黑灰產APP
框架黑灰產APP類別概況
截止2019年3月,在我們捕獲到的800萬框架APP中,已知黑灰產APP累計三百萬+,框架黑灰產APP占框架APP總量40%。通過對2018年框架黑灰產深入跟進后發現,框架開發的黑灰產APP高度集中在盜版多開、黑客工具與色情視頻三類,這三類APP數量和在2018年全年框架黑灰產APP總量中占比高達91%,如圖17;剩余9%包括博彩、違規借貸、網購欺詐、風險游戲等。
圖17 2018年框架黑灰產APP類別分布
框架黑灰產APP重災區
框架黑灰產APP以盜版多開與黑客工具為典型,這兩類占比分別高達47%與34%,其中盜版多開主要針對微信;黑客工具則以刷量和外掛APP為主。
盜版多開
盜版多開是隨插件化框架興起而泛濫的一類風險APP,盜版多開可能會偽造與官方登錄界面完全一致的釣魚界面,誘導用戶輸入賬戶信息,造成用戶隱私信息泄露。我們捕獲到的框架盜版多開以微信多開為主,在全量框架盜版多開中,微信多開占比高達55%,此外,游戲、交友、電商與QQ多開也占據了相當比例。
圖18 盜版多開APP類別分布
框架黑客工具
刷量APP是框架黑客工具中的主要類型之一,其通常伴隨熱門流量的出現而產生,如用戶基數龐大的QQ、熱門手游王者榮耀等,刷量APP主打功能是替用戶刷各種指標量,如QQ會員、空間訪問量、游戲點券等,隨著近幾年熱門流量的變化,框架刷量APP種類也在不斷變化。
我們分析了2016至2018三年間框架刷量APP的變化情況:2016年框架刷量APP中約90%都與QQ業務有關,其中以QQ刷鉆、QQ刷贊為主;2017年單一QQ業務框架刷量APP占比下降至60%,同時短視頻/直播框架刷量APP開始批量出現,其中主要以刷播放量和粉絲量為主,此外,框架刷量APP逐漸向平臺化、綜合化轉型,支持多種刷量業務的綜合型框架刷量APP開始大量出現,在全年框架刷量APP中占25%;到2018年,單一QQ業務框架刷量APP進一步綜合化轉型,綜合型框架刷量APP占比已高達70%,短視頻/直播框架刷量APP數量有所上升。
圖19給出了2016-2018年框架刷量APP的主要類別分布,從近三年的總體趨勢來看,針對單一業務的框架刷量APP正逐漸向支持多業務的綜合型框架刷量平臺轉變。
圖19 2016-2018年框架刷量APP主要類別分布
綜合型框架刷量平臺整合了所有主流類別刷量功能,包括QQ業務、短視頻/直播、游戲刷量等。圖20是一款名為“飛達科技代刷網”的綜合型框架刷量APP,其按刷量目標分成了不同專區,各種刷量業務“應有盡有”。
圖20 一款綜合型框架刷量APP
在刷量APP綜合化轉型的背景下,APP生成框架為刷量APP開發者提供了更便捷的業務擴展方式——“一鍵”批量化。在我們收集到的綜合型框架刷量APP中,絕大多數都呈現出框架批量生成的特點,這些工具可能有不同名稱、包名或圖標,但卻擁有相互關聯的服務器地址或開發者。表1是一批由E4A批量生成的綜合型刷量APP,總量共計5萬+。刷量APP開發者“機智”利用APP生成框架的便捷、零成本特性,以 “一變多”來達到批量推廣、擴大市場占有、靈活轉移業務的目的。
表1 E4A批量生成的同款刷量APP
除刷量APP外,框架黑客工具中的另一主要類別是外掛APP,與框架刷量APP一樣,框架外掛APP近三年的類別分布也發生了一些變化,如圖21,游戲外掛與QQ業務外掛始終是框架外掛APP中的兩大主要類別,且占比逐年緩慢遞增;流量外掛是近三年數量波動最大的一種框架外掛,從2016年至2018年,流量外掛占比從30%降至4%,已逐漸退出主流外掛行列;此外,短視頻/直播外掛與短信、電話轟炸機占比有所增加。
圖21 2016-2018年框架外掛APP主要類別分布
在框架黑客工具中,無論是框架刷量還是框架外掛,都存在嚴重“名不副實”的現象,大量APP打著刷量或外掛旗號誘導用戶下載安裝后實施鎖屏勒索、隱私竊取、私自扣費等惡意行為。惡意APP開發者擅于利用低成本APP生成框架并結合熱點黑客工具來擴大惡意APP的傳播與感染,以此牟取更大利益。
表2截取自我們近期捕獲到的一批框架黑客工具APP,這批APP由IAPP框架批量生成,軟件名圍繞刷量與博彩外掛展開,然而實際運行后這些APP不具備相應功能,且會彈出QQ登錄頁面誘導用戶輸入QQ賬號與密碼,并通過短信上傳至指定手機號,造成用戶隱私信息泄露。
表2 仿冒黑客工具的釣魚APP
總結
APP生成框架帶來了一種便捷的APP開發方式,各類打包平臺、工具等也確實幫助很多開發者以低時間、資金與人力成本實現了APP開發,但黑灰產利用APP生成框架大肆批量化其工具的現象卻越來越嚴重,給用戶及其設備安全帶來了嚴重隱患。
APP生成框架生態良性發展依賴于APP框架平臺、應用市場與安全廠商等多方面的支持。
對于APP框架平臺,明確APP安全規范、加強平臺生成APP安全審核、從源頭阻止風險APP進入市場勢在必行,對于業務模式轉型引入的增殖服務,如軟件著作權代辦、應用包上架等,更應嚴格執行APP安全性評估,杜絕風險APP取得相關權證或上架,而不應在不明確安全規范的情況下高價就能包辦。
對于應用市場和安全廠商,應結合框架APP的特點采用專門針對框架APP的應用審核策略,以部分框架APP缺少靜態行為特征為出發點,加強動靜結合的APP檢測機制。360烽火實驗室基于動靜結合、變化規律以及特征關聯構建了針對框架APP的檢測系統,最大可能保障用戶及其設備安全。
360烽火實驗室
360烽火實驗室,致力于Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。作為全球頂級移動安全生態研究實驗室,360烽火實驗室在全球范圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全數據和頑固木馬清除解決方案的同時,也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務,全方位守護移動安全。
本文經安全客授權發布,轉載請聯系安全客平臺。
