综合报告(六)多开产业威胁报告
大纲
- 背景
- 根据《中国互联网络发展状况统计报告》(https://www.cnnic.net.cn/hlwfzyj/hlwxzbg/201601/P020160122469130059846.pdf)显示,截至 2015 年 12 月,我国手机网民规模达 6.20 亿,手机使用率已至 90.1%;移动电商已成为大势所趋。无论是当当网、凡客的转型,微客来的微客红包新商业模式还是微商的崛起,移动电商是势在必行。
- 微商是基于移动社交平台发展而衍生的一种去中心化的电商形态,是企业或者个人基于社会化媒体开展的新型电商模式。其利用互联网社交网络,针对性开展各类营销活动,以促成销售的商业活动。
- 自微信流行微店兴起,到2014年微信朋友圈卖面膜大潮,再到2016年,微商几年的发展几乎超过了传统电商十年的成长速度。
- 但由于微商的发展,朋友圈遍地广告的场景,严重影响了微信的用户体验,微信随之出台了诸多规范方案,微商也渐渐进入了规范化的良性发展阶段。
- (图出自:艾瑞咨询-2015年中国微商市场研究报告)
- 威胁概况
- 产业发展情况
- 微商、营销
- 微商、营销主要流行于微信等社交平台,但通常社交软件帐号支持好友容量有限,一个帐号的完全不能满足营销需求,故需多个帐号来扩大用户量。
- 但社交应用一般只支持一个设备一个帐号形式,因此微信营销的迫切需求催生了一个设备开多个app的多开产业、以及一台电脑群控手机的群控产业。
- 多开产业
- 应用多开通常有三种形式:
- Android手机系统层做隔离,如android for work、miui8手机分身、奇酷手机
- Android 5及之后版本支持Android for work的企业安全解决方案,基于Android 本身的多用户架构
- miui8的手机分身模式,同样基于Android多用户的基础上底层做了数据分和进程分离
- 奇酷手机只支持微信单一app的多开,原理上应该是基于360开发的动态加载框架DroidPlugin来实现,主要是通过hook各个主要的service,替换ActivitymanagerNative,并使用动态代理的方式替换activity,service等
- Android下三方多开app,如LBE的平行空间、双开助手、应用克隆 (App Clone)
- LBE平行空间,基于容器的虚拟化实现, 并推出了名为MultiDroid的移动计算平台上的虚拟化系统引擎
- 利用hook or 动态加载,Binder Hook、Handler Hook、Native Hook等,四大组件用代理实现
- 重打包多开app,使其可以与原版本同时存在,如Android/iOS上的各微信多开版本都是使用此方法
- 最基本的只用重打包修改app的包名/bundle id使其能与原版本同时安装即可
- 部分app会验证是否同一设备 or 多开app在同一设备上出现信息推送问题,此时需要给每个app分配不同的设备id、serial序列号和MAC地址等
- 重打包形式的多开app多为私人所编写,部分含有盗号外挂或者木马,属于高危地带
- Android手机系统层做隔离,如android for work、miui8手机分身、奇酷手机
- 应用多开已经是一个相对成熟的产业了,常见的有手游多开,社交软件多开如:微信、qq、陌陌、米聊等,同时也有如淘宝等的多开专用于刷单。
- 而其中以微信多开为最,其开发、售卖、推广、用户群都已成长起来了。
- 微信多开多数都是以营销为噱头来推广传播,同时还出现了不少扩展功能,如批量转发、批量点赞、甚至是暴力加好友等......
- 大致上只有简单的多开功能及不闪退保证的售价都在2-3元之间,而增加了一键转发、一键点暂等营销功能的版本售价都飙升到了20-30及以上
- iOS版本微信多开相对Android版本通常也贵一些
- 淘宝虽然屏蔽了“微信多开”的关键词,但实际使用其他接近的关键词如“微信营销软件”、“微信多开开包”还是能搜到大量的售卖信息
- 此外还有各种网站、公众号、小广告在对微信等各类多开应用进行传播推广
- 应用多开通常有三种形式:
-
- 群控产业
- 群控手机成本相对多开软件高出很多,因此发展程度相对薄弱,但从下图为某营销系统的群控软件说明即可看出,其定位精准、功能完备,也是相当成熟的产业了。
- 重打包微信多开分析
- 重打包微信多开活跃量
- 下图为AVL团队收集的Android端重打包微信多开用户近一个季度的活跃曲线(20160301-20160617),可以发现日活量基本稳定在2-2.5w之间。
- Android系统不允许存在两个及以上相同包名的app,所以重打包微信时,代码里面大量的类名及结构都需要同时修改,所以通常重打包都只是对包名进行稍微变形。
- 下图统计了微信多开包名活跃度TOP10,其中使用最多的是"com.tencen1.mm",远超排名第二数倍。(微信官方包名为“com.tencent.mm”)
- 以上数据表面,微信多开已经有了稳定成熟的用户群体。
- 恶意样本
- 但由于微信多开app多为私人所编写,部分含有盗号外挂或者木马,属于高危地带
- 下图统计了Android端微信多开app的恶意比例,恶意代码(黑)占比为15%
- 另外统计了恶意代码家族分布,其中Beycont家族占据60%,该恶意代码主要行为会上传用户的短信、通话记录、位置信息、删除指定短信等操作,并且诱导用户填写相关的银行账户等信息,会对用户造成严重的隐私泄露和资产损失。
- iOS端微信多开
- iOS系统同样不允许一台设备存在多个Bundle ID一样的app,只是未越狱情况下iOS平台上的多开相对Android要困难一些
- 未越狱情况下使用重打包植入第三方dylib,通过Mach-O LC_LOAD_DYLIB Hook,在app启动的时候对BundleID做了动态修改
- 只是由于此类app同样也是私人修改版本,同样容易出现窃取用户隐私,甚至窃取用户支付信息的情况
- (参考:微信双开还是微信定时炸弹?- 关于非越狱iOS上微信分身高危插件ImgNaix的分析http://drops.wooyun.org/mobile/15406)
- 微信多开用户数量
- 统计使用Android端微信多开app的活跃用户,其用户总数量约为44.5万
- 如下图所示,只有少量用户使用了超过20个多开app,绝大部分都是在20个以内,出现了明显的长尾效应
- (去掉用户id)
- 再放大其中超过20个app的典型用户,统计其中top100如下
- 其使用均超过30个微信多开app,尤其有10多个使用了超过100个微信多开app,基本可以确定属于营销用户了
- (去掉用户id)
- 地域分布(做地域热点图)
- 使用微信多开地域热点如下
- 广东省、北京使用最多,远超排名第三的山东省,省top10
- 而又以广州市为最,与北京远超排名第三的郑州市,城市top10
- 传播情况
- 以包名"com.tencen1.mm"为例,下图统计了其传播url、域名的top10
- 其主要通过"pre.im"和“fir.im”进行传播,以下域名基本都属于分发网站或下载站
- 另外“com.tencen1.mm”中有5.35%为风险应用,会对用户造成一定的威胁
- 总结
- 微商的自然生态,无疑降低了微信用户的体验度
- 微商/营销也促进了多开产业的发展,但多开产业的混乱,众多私人开发版本的环境,也成了恶意代码的温床
0 评论:
发表评论