业界首个安全自媒体,关注黑客、黑产和黑幕。
日前,腾讯安全反诈骗实验室和360安全大脑相继发布警告,掌通家园、暴风影音等千余款安卓APP中被嵌入病毒SDK,SDK是软件开发工具包的英文缩写,普通读者可以理解成软件的一个功能模块。病毒SDK运行之后,会联系远程服务器,接受服务器指令,在用户不知道的情况下,偷偷点击百度广告。
安全专家介绍说,虽然该病毒目前只是用来点击广告骗广告费。但因为后门已存在于APP之中,随时可以转做其他用途,可以用来窃取支付密码、QQ密码等,并会造成手机运行卡顿、电池发热等。如果你的手机安装了上述带毒APP,应及时安装手机杀毒软件,并进行全盘扫描杀毒。
(病毒流程图,来自腾讯安全)
根据媒体报道,掌通家园是国内知名的家园共育方案提供商,他的用户包括数千万幼儿家长和40万幼儿园老师。2018年12月,掌通家园获得最新一轮融资1亿美元,累计融资额已超过10亿元,投资方包括新东方集团、羽信资本、至合资本、信中利集团、首泰金信、大钲资本、真格基金等。
(掌通家园创始人叶芊芊,图片来自中新网)
黑奇士(id hqssima)以家长的身份拨打掌通家园的客服电话,客服在询问了软件版本之后表示,“最新的6.9.1版软件已没有问题,请放心使用”,默认带毒的问题存在。但其没有明确解释软件中带有何种恶意SDK,为什么会带有SDK,以及给用户带来损失如何赔偿。
黑奇士注意到,在掌通家园APP中带有资金支付功能。该功能是否受恶意SDK影响,不得而知。
目前包括腾讯、360在内的知名厂商均已发布安全警告,提示带毒APP用户应及时安装安全软件,对手机进行全面扫描,以避免个人密码和资金失窃。黑奇士从360方面获悉,目前360安全大脑可提供的行为监测方案,已可以对app内部第三方组件的未知行为监控预警,例如动态下发dex加载、执行shell命令、敏感信息收集等。
(恶意SDK代码,图片来自360安全大脑)
腾讯安全公布的带毒软件列表表明,除了掌通家园和暴风影音之外,比较大的带毒软件还有塔读文学、天天看、欢乐斗地主2018等。
(腾讯公布的百万以上用户带毒APP列表)
根据该列表的活跃用户数量计算,约有2500万安卓用户可能遭到该病毒影响。
病毒SDK是怎么进入上述APP的?
黑奇士采访的业内人士指出,随着互联网竞争变得越来越激烈,广告单价越来越高,利用技术手段刷量、注水就成为“合理”的选择。
无论暴风影音还是掌通家园,其用户都是普通用户(掌通家园的用户是普通的幼儿园家长和幼儿老师),对于网络知识并不精通,利用他们的手机当“肉鸡”,即安全,又不会遇到麻烦。病毒在接受服务器指令,去点击指定广告的时候,用户自身是毫无觉察的,最多能感觉到手机发热、卡顿,但这些在安卓手机上并不是大问题。
于是黑色团伙就打着“广告联盟”、“广告SDK”的幌子,给上述APP高额广告分成,于是这些APP就会睁一眼、闭一眼,在安全性上放松警惕。
于是,病毒SDK就这么感染了两千多万的手机用户。即使每个用户手机只刷一块钱的广告,那加起来也是2000多万的收入。
广告反欺诈遇到巨大挑战
过去,无论是BAT,还是其余广告商,遇到刷量欺诈,往往可以通过辨别设备真伪、大数据分析等手法,把浑水摸鱼的假量抓出来。
但像这次的恶意SDK,普通反欺诈手段就很难奏效:你用设备指纹?肉鸡本来就是真实设备;你用IP策略、基站识别?他们也是很真实的……普通反欺诈措施无法抓出这些肉鸡,只能通过安全软件,先把潜入用户手机的病毒干掉,再使用反欺诈策略才能做到。
除了技术措施之外,法律手段也是应对这些刷量团伙的利器。
2017年12月,北京海淀警方破获一起广告推广诈骗案件,共抓获涉案人员30余人,起获作案工具手机上万部,其中10人因涉嫌合同诈骗被批准逮捕。
此次千万手机带毒事件,希望相关各方能通过法律手段,揪出幕后黑手。
364081445
