2021年黑产风控和研究

  • A+
所属分类:云安全

介于目前黑产疯狂的发展的势头,我带大家扒拉一下近几年移动端黑产的水,给风控们提供一些内料。

 

近几年比较流行的SAAS服务的概念已经深入人心,即按需为用户提供软件服务。同样的在黑灰产业中,也形成了非常专业的 BAAS 服务( Black production-as-a-Service)。目前黑产的软件市场主要包括三大类型的软件:提高作业效率的自动化脚本、对抗平台风控检测的软件和服务、在不同业务中会使用到的辅助工具。


框架情况

Magisk(面具)

基本原理

Magisk作为黑产中常用的基本框架是必不可少的框架,其中以提供ROOT和代码注入作为主要功能。Magisk 通过启动时在 boot 中创建钩子,把/data/magisk.img 挂载到 /magisk,构建出一个在system 基础上能够自定义替换,增加以及删除的文件系统,所有操作都在启动的时候完成,实际上并没有对 /system 分区进行修改(即 systemless 接口,以不触动 /system 的方式修改/system)。根据 Magisk 平台可以自定义文件系统功能,从而实现修改系统参数等操作。

检测方法

检测是否存在/data/magisk.img和/magisk
检测Magisk的App(包名:com.topjohnwu.magisk)


Xposed

基本原理

Android系统中的应用进程都是由Zygote进程fork出来的,而Zygote进程是由Init进程启动的,Zygote进程在启动时会创建一个Dalvik/ART虚拟机实例,Xposed通过替换安卓/system/bin/app_process和/system/bin/app_process64文件将代码注入zygote进程,使得它在系统启动的过程中会加载Xposed framework的XposedBridge.jar文件,从而完成对Zygote进程及其创建的Dalvik/ART虚拟机的劫持,并且能够允许开发者劫持任何App的Java接口和数据。

检测方法

该框架已经被风控研究多年,并且已经停止维护,在实际应用中已经没有多大伤害性。
常用检测方法有:类名检测法、maps检测法、内存扫描法
Maps关键字:XposedBridge.jar、libxposed

Zposed

Zposed是国内黑产定制出的Xposed魔改框架,已经去除了99%的Xposed特征,在国内黑产圈流传甚广。占据了70%的黑产改机市场。


特征公开

Zposed

App包名:zpp.wjy.zposed.installer

特征文件:/system/bin/app_process_zposed、/system/bin/app_process64_zposed、/system/framework/ZposedBridge.jar、/system/lib/libzposed_art.so、/system/lib64/libzposed_art.so

Maps特征:ZposedBridge.jar、libzposed_art.so

具体情报看下面附件。

本文始发于微信公众号(白安全组):2021年黑产风控和研究

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: