介于目前黑产疯狂的发展的势头，我带大家扒拉一下近几年移动端黑产的水，给风控们提供一些内料。

近几年比较流行的SAAS服务的概念已经深入人心，即按需为用户提供软件服务。同样的在黑灰产业中，也形成了非常专业的 BAAS 服务（ Black production-as-a-Service）。目前黑产的软件市场主要包括三大类型的软件：提高作业效率的自动化脚本、对抗平台风控检测的软件和服务、在不同业务中会使用到的辅助工具。

框架情况

Magisk（面具）

基本原理

Magisk作为黑产中常用的基本框架是必不可少的框架，其中以提供ROOT和代码注入作为主要功能。Magisk 通过启动时在 boot 中创建钩子，把/data/magisk.img 挂载到 /magisk，构建出一个在system 基础上能够自定义替换，增加以及删除的文件系统，所有操作都在启动的时候完成，实际上并没有对 /system 分区进行修改（即 systemless 接口，以不触动 /system 的方式修改/system）。根据 Magisk 平台可以自定义文件系统功能，从而实现修改系统参数等操作。

检测方法

检测是否存在/data/magisk.img和/magisk
检测Magisk的App（包名：com.topjohnwu.magisk）

Xposed

基本原理

Android系统中的应用进程都是由Zygote进程fork出来的，而Zygote进程是由Init进程启动的，Zygote进程在启动时会创建一个Dalvik/ART虚拟机实例，Xposed通过替换安卓/system/bin/app_process和/system/bin/app_process64文件将代码注入zygote进程，使得它在系统启动的过程中会加载Xposed framework的XposedBridge.jar文件，从而完成对Zygote进程及其创建的Dalvik/ART虚拟机的劫持，并且能够允许开发者劫持任何App的Java接口和数据。

检测方法

该框架已经被风控研究多年，并且已经停止维护，在实际应用中已经没有多大伤害性。
常用检测方法有：类名检测法、maps检测法、内存扫描法
Maps关键字：XposedBridge.jar、libxposed

Zposed

Zposed是国内黑产定制出的Xposed魔改框架，已经去除了99%的Xposed特征，在国内黑产圈流传甚广。占据了70%的黑产改机市场。

特征公开

Zposed

App包名：zpp.wjy.zposed.installer

特征文件：/system/bin/app_process_zposed、/system/bin/app_process64_zposed、/system/framework/ZposedBridge.jar、/system/lib/libzposed_art.so、/system/lib64/libzposed_art.so

Maps特征：ZposedBridge.jar、libzposed_art.so

具体情报看下面附件。

本文始发于微信公众号（白安全组）：2021年黑产风控和研究