[原创]腾讯御安全深度解析新型流量盗刷病毒家族
腾讯御安全深度解析新型流量盗刷病毒家族
【关键词：腾讯御安全，APK漏洞扫描, 应用安全, 应用漏洞】
近期，腾讯安全反诈骗实验室的新一代AI引擎TRP，基于应用行为、网络行为等维度进行人工智能学习训练，从海量APK文件检出一款新型流量盗刷病毒家族，其开发者嚣张留下痕迹称其为“ /evil/invisible”——我们将其命名为“隐匿恶魔”。腾讯御安全发现，该病毒一旦进入用户设备后，其内置云控模块就会下发云控指令控制用户设备执行后台模拟广告点击等非法操作！
前言, &神羊情报分析平台“揪出”幕后黑手
神羊是腾讯御安全技术支持腾讯安全联合实验室研发的一款情报分析系统，输入病毒样本相关的IP、域名、电话号码或邮箱等线索，就能对线索进行溯源分析并呈现整合结果。 当确认某SDK模块是恶意行为发起方，我们通过神羊定位到名为上海柚稻信息技术有限公司与此事有关。我们已将相关线索提交给相关部门评估处理，目前用户可以通过手机管家进行拦截查杀。
一、 AI引擎聚类关联发现：多款正规应用被重打包
该恶意病毒家族通过SDK代码集成、应用重打包等方式嵌入各类流行应用中，然后通过应用市场、软件下载站、线下手机店等渠道安装到用户手机；不仅多米音乐等多款流行应用都不慎被植入“隐匿恶魔”，某应用市场PC版及非官方ROM也成为了病毒的植入渠道，根据神羊情报，该家族主要通过几种方式大量传播：
伪装成系统应用并通过某些PC应用市场模块进行线下推广 ·&&&&&&&& 通过非官方ROM植入用户手机 ·&&&&&&&& 通过合作植入到一些流行应用中 ·&&&&&&&& 通过重打包流行应用然后诱导用户下载
& 二 、详细分析报告如下：
1.样本基本信息 应用名：系统设置 包名：com.android.system.settings 证书：ECC18BEA46BD
恶意行为：
& &&& & & & & & & & & & & & & & & & & & & & & & & & & & &&
主要访问域名： 任务下发域名 api.jsi**.com 广告下发域名 a.you***dia.com（注册公司为“上海柚稻信息技术有限公司”） & & & & & & & & & & &api.miss***eenz.cn（可下发安装APK） & & & & & & & & & & &api.orange***3.cn（可下发安装APK）
涉及部分广告URL：
&& & & & & & & & & & & & & & & & & & &
2.模拟广告点击流程分析
样本通过WebView加载HTML页面，并注入invisible.js到页面中，并提供模拟点击、滑动操作的接口。样本从服务器拉取广告任务，通过动态构造HTML元素加载广告，并点击广告，必要时由Java代码实现模拟点击、滑动操作。
1)&& &通过WebView加载URL，http://api.jsi***.com/evil/invisible.html，并通过loadUrl注入http://api.jsi***.com/evil/invisible.js
& & & & &&& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&图 加载HTML
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && & & & &&图 注入js
2)请求广告 广告加载主要由http://api.js***.com/evil/invisible.html完成
初始化任务列表：
&&& & & & & & & & & & & & & & & & & & & & & & & & & & & 任务列表： & & &&& &
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && 任务字段含义：
&&& & & & & & & & & & & & & & & & & & & & & & & & & & & &&
& 根据任务列表，向a.youe***dia.com请求广告信息：
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && & 广告请求的设备信息由Java代码提供。 & 3)加载广告
广告请求返回如下JSON：
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & 根据impression_monitor_url创建HTML元素：
& & & & & &
& & & & & & & & & & & & & & & & & & & 4)模拟点击
点击操作实质上是通过访问广告请求的click_url实现： & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&& & & & & & & & & & & & & & & & & & & & & & & & && 如果是apk，则调用Java代码下载：
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&& & & & & Java代码：
& &&& & & & & & & & & & & & & & & & & & & & & & & & & & & & & && 创建HTML元素：
&&& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&& & && 访问URL：
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && 5)针对百度提供的广告页面，模拟滚动后点击相应标签： & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &
3.模拟Google Play Store
样本内包含了Google账号，并可模拟Google Play下载并安装应用，并模拟Google Play发送Google Play Install Referrer，启动应用。可以达到刷量的目的。
1)内置Google账号
应用内置了Play Store相关配置，也可通过JS代码下发。包含明文的Google账号密码：
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & 账号和密码可动态更新：
& &&& & & & & & & & & & & & & & & & & & & & & & & & & & & & && 2)从Play Store下载应用
首先获得认证的Token：
&&& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && & 获得文件下载地址并保存：
& & & & & & & & & &&& & & & & & & & & & & & & & & & & 下载APK文件并安装：
&&& & & & & & & & & & & & & & & & & & & & & & & & & & & && && 3)启动应用
可以由服务端启动应用，对应的Java接口函数为loadAppF()、startApp()。两者的区别在于startApp()会模拟Google Play发送Google Play Install Referrer。Referrer被应用用于追踪安装行为，包括安装源和与之相关的广告事件。模拟Referrer可视为模拟Google Play安装应用。
启动应用过程如下：
函数loadLPPage()可受控打开某个URL获得Referer
& & & & & & & & & & & & & & & & & & & & & & & & & && &
服务端控制调用startApp()启动应用：
&&& & & & & & & & &
发送Referer：
& &&& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & 4.关键函数接口
由2.2分析可知，样本加载分别HTML文件和JS， http://api.jsi**n.com/evil/invisible.html http://api.jsi**n.com/evil/invisible.js
其中HTML文件提供模拟点击广告的功能，JS文件提供模拟点击API接口。
JS文件提供的接口
&&& & & & & & & & & & & & & & & & & & & & & & & & & & & & 与此对应Java代码通过WebView.addJavascriptInterface函数使得JS代码可以调用如下Android代码：
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && &
5.有root权限的情况下静默安装
& &&& & & & & & & & & & & & & & & & & & & & & & & & & & 6.启动浏览器访问指定页面
loadLPPage()除了获得Google Play Install Referrer之外，还可以使用浏览器打开指定URL： & 三、 样本传播渠道
通过AI引擎网络行为分析发现，其任务还可通过以下三个同功能服务器进行下发： api.oy***.com 42.51.2***.14 api.Ig***.com 1.线下传播渠道
我们发现一款名为USBHelper的部分版本也被植入EvilJS隐匿者恶意代码
&& & & & & & & & & & & & & & & & & & & & & && & 其推广渠道可能为线下及ROM： & & & & & & & & & & & & & & & & & & & & & & & & &
& & & & & & & & & & & & & & & & & & & & & & 2.知名应用通过SDK集成
&通过腾讯反诈骗实验室大数据分析发现，多米音乐6.7.5 ~ 6.8.7（最新版本）的版本包含有该恶意SDK模块。 多米音乐6.7.5仅部分样本包含该恶意SDK，到6.8.7版本，所有样本均包含该恶意SDK。最新版本的用户数88W+。 此外，爱上Radio（InternetRadio.all）、超级瑞士军刀（com.utooo.android.knife.free）也包含该恶意SDK。 & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && 3.知名应用/游戏重打包
含有该恶意SDK的重打包应用（用户量较大的样本）：
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &&
& & & 含有该恶意SDK的游戏（用户量较大的样本）：
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & && && & & & & & & 4.色情应用集成
部分色情样本也包含该恶意SDK。
关于腾讯安全反诈骗实验室
腾讯安全反诈骗实验室系中国首个安全实验室矩阵——腾讯安全联合实验室旗下的子实验室之一，与科恩实验室、玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、移动安全实验室，共同组成体系性的安全解决方案，专注安全技术研究及安全攻防体系搭建，安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。
其中，腾讯御安全专注于个人和企业移动应用开发者的应用安全服务，拥有丰富的漏洞特征与病毒库，能够全面覆盖已知漏洞，可对99%的应用进行漏洞风险扫描；同时，应用加固服务具有防篡改、防逆向、防调试功能，应用在加固发布后，有效防止应用被二次打包，不被攻击。
作为联合业界一起基于大数据的方法，构建基于终端、管道和云端全覆盖的创新黑产分析和阻击模式的研究中心，腾讯安全反诈骗实验室目前以安全云库，智能反诈骗引擎，反诈骗专家智库三大核心利器守护网络安全。
不断深耕安全能力的同时，腾讯安全反诈骗实验秉承开放、联合、共享持续赋能社会各界。在刚刚过去的2017年中，腾讯安全反诈骗实验室先后与国家食药总局、国家工商总局、北京市金融工作局、深圳市金融办达成战略合作，共同探索政企合作打击黑产模式，并创建互联网食药大数据监管指数平台、网络传销态势感知平台、大数据金融安全监管科技平台，协助国家政府职能机构提升在食药安全、反传销、反金融欺诈等领域的监管能力。
同时为了更加高效地打击愈来愈“产业化、智能化、国际化”的网络犯罪，腾讯安全反诈骗实验室通过灵鲲、神侦、网络态势感知、鹰眼、麒麟、神羊、神荼等十余款反诈骗产品共同组建而成的反诈骗智慧大脑，构建了全链条的防护体系，能够在诈骗的事前、事中以及案情分析等关键环节起到作用,为警方以及金融、食品药监、通讯等监管部门提供了全方位的人工智能+大数据反诈骗体系。
支付方式：
最新回复 (0)
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。虚假网播量调查：租用IP地址库 一万流量2元|网播|视频网站|盗刷_新浪娱乐_新浪网
虚假网播量调查：租用IP地址库 一万流量2元
“网络上的点击率90%都是有水分的。”一部50集的剧，如果要达到300亿播放，就意味着每集有平均6亿的播放，这合理吗？
　　作者/吴燕雨 来源/21世纪经济报道
　　如何防刷？21世纪经济报道记者联系了各视频网站，优酷以担心“道高一尺魔高一丈”为由拒绝了采访；正在升级系统和技术的腾讯视频则选择现阶段暂不回应；芒果TV相关负责人也在电话中拒绝对刷流量问题给出回应。
　　爱奇艺CTO汤兴对记者透露，“曾经有一部内容的数据量90%多都是盗刷产生的”。
　　“流量”生态链调查
　　在移动互联网时代，“流量”掌控了不少企业运营的生命线，“流量红利”让先行者尝到甜头，然而也滋生了各类造假生态链。在网播平台上，相关利益方为了获取广告青睐购买虚假流量；而在各类追求流量规模的企业APP，内部员工购买虚假注册用户也不鲜见……种种求“流量”若渴进而购买虚假流量的背后，都共同指向了虚假身份的泛滥、个人真实身份的泄露和滥用。手机实名制被作为遏制“养卡”产业的有效武器应运而生，但遗憾的是，运营商每一次启动的实名制监管程序都有大量漏洞，系统更新的同时就被破解。目前仍收效甚微。
　　泡沫很突出，平台利用泡沫吸引更多人制作、在其平台上播放，部分的网络剧用假的点击量数据来吸引投资。
　　电视剧、网剧的网络播放量正在以惊人的速度刷新高度。据第三方统计，去年，共有11部电视剧网络播放量突破百亿。今年开年，已有两部破百亿。今年开年，已有两部破百亿，则宣布突破300亿播放量。
　　高流量背后，一方面是国内观看习惯的改变，视频网站正在取代电视台成为主流的观看渠道；另一方面，外界对数据真实性的质疑声也未停歇。
　　“网络上的点击率90%都是有水分的。”北京某影视公司CEO这样告诉21世纪经济报道记者。一部50集的剧，如果要达到300亿播放，就意味着每集有平均6亿的播放，这合理吗？一位常年从事刷流量工作的人士肯定地告诉记者，百亿流量大部分有水分，“全网加起来10亿，已经是很多了。”
　　谁在买流量？流量怎么刷？这种情况对行业有哪些危害？以流量作为标准之一、选择投放的广告主们是否因此利益受损？刷流量能否避免？带着这些疑问，记者联系与流量相关的各方角色，试图梳理出完整的产业形态。
　　两个月刷27亿流量
　　实际上，刷网络播放量早已是行业内公开的秘密。在这个灰色地带里，有制片方对流量存在刚性需求，有代理对接需求方和流量公司，更有专业的刷流量公司负责刷量；而在视频网站端，各家均建立了防刷系统；另外，也有第三方数据公司，综合各维度数据，为广告主提供数据报告，以判断投放性价比。
　　为什么刷流量？华夏兄弟国际传媒董事长萧文告诉记者，“刷流量的主要目的一是加大对戏的品牌宣传力度；二是加大视频网站的广告收入；还有就是视频网站之间竞争导致的。”
　　在淘宝搜索“网剧播放量”等关键词，可轻易找到大批相关店铺。按照各视频网站刷流量难易程度和各家刷流量技术不同，各家给出的报价也有一定差别。
　　记者综合多家给出的报价发现，目前，爱奇艺的流量报价最高——1万流量在20元左右；优酷在8元左右，搜狐视频在5元上下，腾讯视频、乐视、芒果TV则维持在2元上下。不过，这个报价并不固定，根据平台的系统，报价会出现变动，个别网站甚至出现过0.5元的低价。
　　今年“3·15”之前，相关店铺被淘宝大规模下架；但“3·15”过后，又有大批“新”店铺重出江湖。
　　在与多位商家交谈中，记者发现，近期各网站都在升级技术。如刷量报价曾在1元以下、且不设上限的某视频网站近期完成了升级，如今报价翻倍，刷量速度也明显变慢，每天只能刷到几十万；而有多位商家对记者表示，自己曾在该网站刷过上亿流量，最多的用两个月时间刷了27亿。
　　虽然网站系统升级，但“突破他们的系统只是时间问题”，多位商家表示。“有需求，自然有市场，我们做了几年了，再严重的都碰到过，最终还是会突破的。”一位成功避开了“3·15清洗”的商家说。
　　虚假流量生产链
　　通俗来讲，刷流量即制造访问量，IP地址是关键因素，刷流量者必须掌握大量IP地址。此外，在网络黑产中，每天有上千万黑卡（手机号）在售。在一位知情人士提供的实时截图中，某视频网站接入了不少卡商，最大的一个卡商对接了1000多个刷单手。
　　租用IP地址库，这是刷流量商家们最大的成本之一；其他成本还包括服务器费用和后期维护等。
　　从某种意义上讲，视频网站对IP地址的识别能力是核心技术之一。“找网站后台统计数据规则的漏洞”，检测网站是否统计数据，也是刷流量的核心技术之一。
　　最“专业”的刷流量者对视频网站技术了如指掌，他们团队作战、有自主研发的技术和平台。“优酷一周修改2次参数，这大半年没有例外”；“爱奇艺一段时间会清除一次数据”……也有部分个体商户，利用其他的平台技术，以代理的形式接小体量的单子。
　　后期维护阶段，即圈内俗称的“掉量”，当视频网站系统升级后，会甄别出一批假数据，一部分会被清除、也有全部清除的现象。这时候，就需要重新研究刷法。
　　整个交易中，采购流量者并不需要与商家签订合同，由于行业缺乏第三方监管，因此即使签署合同也不具备法律效应。
　　按照行业公开报价的均价计算，刷出百亿流量需要好几百万的费用，对于制片方来说，是一个不小的数字。据了解，目前鲜有如此大体量的单子出现。实际上，由于视频网站与流量商都明白这其中的“规则”，一旦出现刷量太多，被下架的可能性是很大的。
　　然而，更加容易被忽视的是，某些视频网站存在“绿色通道”，即内部人直接调数据，这种情况曾盛极一时，如今正在减少。目前，以网站自制内容居多。
　　对于这种现象，北大文化产业研究院院长陈少峰对记者表示：“泡沫很突出，平台利用泡沫吸引更多人制作、在其平台上播放，部分网络剧用假的点击量数据来吸引投资。这些内容其实都是血本无归的，反而是给视频网站打工。”
　　博弈：防刷与鉴别
　　如何防刷？21世纪经济报道记者联系了各视频网站，优酷以担心“道高一尺魔高一丈”为由拒绝了采访；正在升级系统和技术的腾讯视频则选择现阶段暂不回应；芒果TV相关负责人也在电话中拒绝对刷流量问题给出回应。
　　爱奇艺CTO汤兴对记者透露，“曾经有一部内容的数据量90%多都是盗刷产生的”。在他看来，数据的真实性是平台的生存核心生命力之一，他介绍，爱奇艺已建立自有流量防刷系统，通过技术手段对刷量行为进行拦截处理。目前，反作弊团队有100人左右。
　　“盗刷有几个特征，毕竟不是真实的人的行为，他很多是通过一些固定IP、固定的机器，个别的地区突然之间爆发。有的只是刷播放接口；有的是播放几秒钟立刻就退出。这些来源能明显地追踪到，它不是正常的人类行为，或该用户从来未出现。
　　我们会去监控这些突然异变，也会监控这些来源的IP和用户。通过这种方式，把这种盗刷的数据清除掉。“汤兴说。
　　搜狐集团创始人张朝阳近期曾公开表示，“除了运营平台造假之外，还有主创团队把内容卖给平台之后雇人刷流量。那个数字调了以后，第三方数据的很多软件去抓那个页面，最后算出来的排行榜，也不靠谱。这都是商业驱动导致的。”
　　从另一个角度来看，流量数据是评判一个剧成绩、商业价值的重要指标之一。流量造假是否影响广告主的后期投放？
　　一家为广告公司提供报告的数据公司CEO告诉记者，对广告主投放广告的选择会有一些影响，但对广告投放的计量是不影响的。“广告和视频网站的播放量在物理层面是两个不同的系统，是分开的。广告计量还有一种广告监测，跟播放量是两套独立的系统。”
　　如何帮助广告主甄别，他继续表示，播放量只是衡量一些剧和新媒体关系的其中一部分，我们还包括网络舆情、粉丝反馈等多维度的方式来甄别哪些剧是真正的火哪些存在虚火。
　　而一位多次在网剧投放广告的广告主则对记者表示，刷流量对广告主来说一定有损害，但在众多“刷”的流量里，哪些是完全无效的流量、是垃圾流量，是无法统计得知的。“有些刷的节目，一堆广告主前赴后继的买，说明是有价值的。”他说。
　　实际上，行业在经历非理性增长后，或许正在回归理性。“有过一次就坏了口碑，圈子很小，传得很快。要么打一枪换一个地方，要么至少让交易双方觉得相对合理。”上述广告主表示。(责编：sisi)最近网站访问量暴涨，排名却一直上不去，请大神看看是不是被人盗刷了？_百度知道
最近网站访问量暴涨，排名却一直上不去，请大神看看是不是被人盗刷了？
浏览次数基本是首页的，不可能有那么多浏览量，而且停留时间很短，怎么查找原因？如果是竞争对手恶意刷的，会对我们造成什么负面影响？怎么杜绝？
我有更好的答案
是流量攻击;--8&--1&lt，你的网站遭不好的代码。你快速检测你代码。如要帮助 请加 5&--7&5&5&lt
采纳率：48%
可以安装服务器安全狗之类的服务器防护软件来进行防御。导致服务器无法为正常访客提供服务（网页打不开等）对于这种方式的攻击，堵塞消耗服务器资源根据这种点击量来看，有点类似于cc攻击。cc攻击的原理是，一旦触发规则，ip就会被冻结，从而无法继续进行攻击。设定相应的规则
为您推荐：
其他类似问题
网站访问量的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。
问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
像 UPYUN 这种按需付费的服务，固然很好，不用多花一分钱。但是万一有人恶意盗刷流量，那后果也很可怕。今天看到 ，也挺担心自己也可能出现这种情况。不知道 UPYUN 有没有防止别人盗刷流量的功能。而且强烈建议 UPYUN 添加上每日预算的功能，这对于小型用户还是非常有意义的。当一天的流量超过了所设置的额度，在当天自动关闭空间，这样再盗刷的请求会被拒绝。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
没有每日限额的，盗刷可以使用防盗链来限制：
分享到微博？
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：
在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。}