ZKIZ Archives


手游黑客產業鏈大起底:每月純利150萬元

http://new.iheima.com/detail/2014/0321/59767.html

在中國手游市場,除了獲取用戶繼而變現這條路徑,一條非常隱秘的地下產業鏈也在暗自發展。

有的中國公司,鑽營應用商店的結算漏洞;有的手游企業,被盜版、現金流被盜用都不知情。有報告稱,網銀與網絡遊戲賬號已經成為地下黑市青睞的主要對象,同時,攻擊的目標也投向了用戶量龐大的手機網遊。

近日在一場UCloud聯合主辦的遊戲開發者沙龍上,賽博龍工程師張世會與UCloud技術大拿探討了「黑客地下產業鏈中的手機遊戲」這一話題。

Android平台,由於其開放性,黑客採用多種方式,一般是通過所謂破解版App來將惡意代碼加入程序,盜取用戶設備中的信息,再進一步盜取用戶財產。

iOS方面,由於蘋果系統相對封閉,App Store裡的欺騙行為更多體現在匯率漏洞與黑卡上。

接下來結合張世會與UCloud工程師以及其他安全界朋友的說法,介紹兩種系統中黑客是如何操作,希望開發者們有所警戒。

Android:通過破解版程序

這張圖可以簡單說明。

首先,黑客與非法SP會下載apk安裝包,將其反編譯,加入惡意代碼文件,再將遊戲重新打包生成新的運行程序。一般來說,加入惡意代碼的新運行程序會比原程序更佔據磁盤空間。

然後,黑客會將加入惡意代碼的App換一個更有吸引力的名字,比如說將monkey jump改為monkey jump free,引誘用戶下載。一般情況下由惡意代碼編寫的程序會優先於原程序運行,同時獲取用戶的各種本地權限。

葡萄君以二次打包植入廣告為例,黑客們首先尋找熱門遊戲、知名軟件,通過反編譯,在軟件中插入惡意代碼,然後由「打包黨」負責大批量二次打包app,再在第三方應用市場,各大論壇分發,由用戶下載。「打包黨」們利用消費者追捧熱門應用的心裡、加上普通人難以區分正版盜版,以及應用市場安全監管能力的不足,令惡意廣告和病毒木馬順利進入用戶手機中。

這一切都是在用戶完全不知情的情況下發生。一旦惡意代碼程序運行並獲取了權限,黑客就可以對用戶的手機進行遠程操控。

遠程操控的方式分為用戶可見及不可見兩種,像是遠程操控撥自動撥打電話,更改壁紙等都是用戶顯而易見的,容易引起用戶懷疑,黑客一般會採用一些更隱蔽的操控,比如說自動下載收費程序。

在這種攻擊方式的驅動下,移動App領域已經形成了許多灰色產業鏈,比如說SP增值服務扣費,二次打包植入廣告,移動殭屍網絡,篡改數據等。

SP扣費,此類病毒每次進行小額支付(一次支付2-6元),還可以通過遠程服務器指令來配置扣費與否和扣費區域(如北上廣不收費、2,3線城市收費)。

二次打包植入廣告,在用戶的手機中會以通知欄提醒、懸浮窗提醒、廣告展示等多種形式誘導用戶點擊,同時還竊取用戶的隱私信息並上傳,或者在後台靜默下載各種軟件。通過用戶點擊廣告、後台下載軟件產生非法推廣利益以後,黑客、打包黨與非法廣告渠道商進行收入分成。

這種方式的特點是盈利模式見效非常快,有數據顯示,一個10人左右的打包團隊每個月的純利潤可以達到150萬元。

數據篡改,是黑客將軟件內置的廣告SDK被替換成應用商店自己的廣告SDK,強行推送廣告賺取廣告費。或者加入惡意代碼在後台偷偷下載APP,安裝後自動刪除,按照激活次數收取推廣費。再或者替換應用支付系統,將收款方指向自己,或在登錄系統中加入腳本竊取用戶賬戶密碼。

移動殭屍網絡,是黑客控制了用戶手機以後:黑客發出指令利用手機為指定地址刷流量;向手機聯繫人發送黑客編輯的短信進行詐騙;利用Android系統漏洞感染網絡中的其它手機;自動發送垃圾廣告、短信……

這些盜取方式,中招的CP甚至都很難維權。比如某成都80後開發者,遊戲上線一週後被二次打包放進廣告,由於未能提供某國內Android應用商店要求的軟件著作權證書,無法要求盜版遊戲下架。

那麼,如何防範?

對於用戶來說,下載App儘量選擇信譽好的渠道,不要隨意掃瞄二維碼、點擊來歷不明的短信鏈接,安裝App時注意其要求的權限。

對開發者來說,應該從漏洞源出發,找到填補漏洞的方法,加以解決。

1) 反編譯漏洞

反編譯漏洞是指,黑客找到找到App的設計流程,進行盜版、篡改、惡意代碼注入;對部分積分機制的APP進行破解,繞過程序的驗證機制;通過暴露的URL對服務器進行惡意攻擊。它的主要危害就是使App源碼暴露,給黑客二次打包的機會。

解決方法:代碼混淆,代碼加密。

2)內存漏洞

內存漏洞一般有以下幾種表現:非靜態內部類的靜態實例容易造成內存洩漏,activity使用靜態成員,使用handler時的內存問題等,內存漏洞一般會使惡意程序可以修改存儲在手機上的數據。

解決方法:對一些應用數值做打散處理。

3)反調試漏洞

反調試漏洞主要危害是當用戶使用支付軟件的時候,偷走用戶的支付口令;當用戶在使用發短信功能時,偷走短信記錄。

解決方法:底層加密保護、使用第三方安全加固。

4)一些第三方安全加固

第三方加固主要是說通過第三方平台對App進行加密。

iOS:匯率漏洞與黑卡

在iOS平台,葡萄君聽聞一個案例,某手游產品每月賬面銷售額700萬元,其中50萬元黑卡耗損,100萬元被匯率倒賣者攫取,剩下到帳550萬元。

黑卡漏洞主要是利用盜刷和黑卡低價代購App甚至Gift Card,這種方式早已存在。

匯率漏洞,則是由於App Store自有的匯率折算系統,該匯率系統相對於國際匯率體系而言是固定不變的。

最近一年因為諸多原因,部分國家(如南非)的貨幣對美元匯率波動巨大從而導致以下現象:一款中國區售價100元人民幣的遊戲(或內購物品),如果用這些匯率波動國家的貨幣進行支付,借助App Store匯率和實際匯率的差價折算後,實際僅需70元人民幣。

如此一來,就有人可以利用這一漏洞,以低折扣銷售熱門遊戲的內購物品,最終導致遊戲運營商和開發者蒙受損失。

PermaLink: https://articles.zkiz.com/?id=93900

Next Page

ZKIZ Archives @ 2019