安天移动安全：针对 APP 生成平台被黑灰产利用的技术分析（二）

随着移动互联网技术和智能终端的广泛普及,移动互联网应用场景和媒体形态日益丰富,用户对移动互联网应用的使用频度大幅提升。与此同时,风险应用出现大规模扩张,成为新形势下移动安全防治的另一难题,移动安全防治重心开始迁移,针对风险应用的安全治理能力成为检验移动生态安全的重要标准。

近期,安天移动安全在持续关注当前移动生态问题过程中发现,APP在线生成平台被黑灰产广泛利用,批量生成以“代刷、外挂、恶意扣费”为代表的风险APP,侵犯用户权益的同时对用户资金安全构成严重威胁。

在线生成APP平台是一套无需复杂技术编程就可以实现APP开发前端应用的框架,开发者编写一套代码即可发布到iOS、Android、Web(响应式)、以及各类小程序、快应用等多个平台,解决跨平台编程的复杂性的同时降低了编程的难度及门槛。

安天移动安全风险检测预警平台分析发现,有恶意开发者利用在线生成APP平台开发技术门槛低和跨平台适配的特点,大批量生成裸聊诈骗相关的风险应用,且通过旗下的开发者信誉关联体系关联出更多不同品类的应用,这一现象不仅严重破坏了移动生态环境,也损害了用户的合法权益。

上述“裸聊诈骗”APP示例:

一、裸聊诈骗流程分析

二、裸聊诈骗APP相关技术分析

1、APP运行界面

应用运行用户需输入手机号、邀请码和验证码才可进入应用。

2、技术分析

该应用启动后加载asset目录下的index.html

2.1伪造注册页面

手机号和邀请码校验简单,手机号取值区间[13000000000,19999999999],邀请码取值区间[0,999999],若格式不符合,弹出提示 请输入正确的手机号和邀请码 ,若输入验证码为空或不是随即生成的验证码,会分别弹出提示’请输入验证码!’和 验证码错误!

验证码再点击立即获取后调用huoquyanzhengma()方法随即生成,同时上传输入手机号、邀请码和验证码到远程服务器

2.2窃取用户隐私

在js中调用方法requestPermission()和huoqu()窃取用户短信和联系人信息

2.2.1请求权限后窃取用户短信,实际运行中该行为没有触发

2.2.2在输入注册信息点击确定上传联系人信息

3溯源分析

该窃取隐私服务器已经失活,且无备案信息;获取验证码地址为杭州云片网络科技有限公司,该公司提供短信验证服务,我们认为该公司的验证码接口在不知情的情况下被恶意利用。

3裸聊诈骗APP开发者信誉关联

安天移动安全旗下的移动开发者信誉平台对该案例进行关联分析发现,上述应用之间存在复杂的指纹关联(“指纹关联”是安天移动安全内部开发的具有开发者标识性的系统),关联出了更多APP,其中包含7个直播类应用,1类应用以及20+裸聊类应用。下图为部分数据展示。

在流量利益的驱使下,黑灰产出现大规模扩张,黑灰产产业链已经具备规模化、体系化特点,可低成本复制。安天移动安全风险检测预警平台发现,从APP开发、资质审核、上架审核,再到市场运营,目前市场上已经形成了服务于APP全生命周期的黑灰产业链,其中就包括APP生成平台,这些生成平台无疑为移动生态安全带来了安全隐患。

移动互联网生态良性有序发展离不开行业相关规范和标准的引导,以及海量发现、关口前移的技术手段进行治理和约束。APP生成平台具备开发技术门槛低、成本低、跨平台适配等特点,能够满足很多中小企业的实际需求,不应当成为黑灰产作恶的工具。

现如今,移动生态的安全与否越来越取决于针对风险应用的安全治理能力,移动安全生态建设,离不开手机厂商、开发者等各方参与者的通力合作。作为用户生态安全的助推者,安天移动安全愿携手广大终端厂商,与各方一道促进移动安全生态持续向好,不断提升开发者安全运营水平,联合建立行业规范,助力网络安全新格局建设。