01

总体概述

2022年2月25日，中国互联网络信息中心（CNNIC）发布第49次《中国互联网络发展状况统计报告》（以下简称“报告”），该报告指出，截至2021年12月，我国网民规模达10.32亿，在网民中，即时通信、网络视频、短视频用户使用率分别为97.5%、94.5%和90.5%，用户规模分别达10.07亿、9.75亿和9.34亿。随着移动互联网的高速发展，各行各业的移动应用程序应运而生，给用户带来众多便利，但也存在众多违规的应用，早期市场上利用预装，明扣或暗扣进行收益，随着运营商监管加大治理，这类应用越来越少，现阶段出现许多新的方式，利用“擦边球”、应用加固等方式绕过监管，运行后分析用户的行为，收集用户的上网数据，待时机成熟时，开始给用户推送各类“赚钱”，“免费”的广告，点击即下载，或者利用现金激励，高价值商品1元购，看视频的金币、博眼球的应用名称等手段，先汇集了大量的用户入群，然后每日发布任务，鼓励用户观看、点击广告、试玩游戏、电商购物等，给一定的佣金，但其目的是为广告主带来大量新用户流量，进而自己得到佣金收益，用户并无法得到什么,就算能得到也非常少，或者设置许多提现门槛，无法提现。

近期，恒安嘉新暗影移动安全实验室APP全景态势与案件情报溯源挖掘系统（以下简称“系统”）监测发现2万多款应用，存在同样的行为特征，文件大小相似，开发者证书相同，但签名MD5却不同，引起了分析人员的关注，研究发现主要是推广类和网赚类应用，其中推广类（包含外挂、视频、漫画等）占比接近70%，其次为网赚类（福利、赚钱、红包等）接近30%，本文将将随机抽取10000个应用，从运作模式、现状分析、传播情况、获利方式4个维度进行分析，让大家对这类推广获利类应用有个初步的了解，同时提醒广大用户不要贪图小便宜，不要私自下载安装未知的应用，以免给自己个人信息和经济带来一定的安全风险。

系统自主监测的截图如图1-1所示：

如图1-1系统自主监测截图

02

运作模式

研究发现这类应用逐渐已经形成灰色产业链，其产业链最终受益的主要分为三类人群：网赚公司、专业羊毛党、APP推广员，下面分别阐述这三类受益人员的运作模式。

（1）网赚公司：简单的说就是利用网络赚钱的公司，一般是利用电脑、服务器等设备通过Internet（因特网）从网络上获利的赚钱方式。从这批应用的行为来看，主要是诱导推广和广告弹窗两种模式，其中诱导推广模式主要以现金、金币诱导用户来下载软件或阅读文章，利用传销式的运作模式发展下线，在用户提现时设置门槛，无法提现，间接的为广告主增加用户流量，自己赚取佣金；广告弹窗模式主要是模仿一些热门游戏或漫画，嵌入SDK模块后上传至各大传播渠道，当程序运行时，在后台加载广告弹窗，模拟用户点击，达到流量获利的目的。开发人员会快速定制不同需求的APP，利用上述两种模式快速变现，网赚公司运作模式如图2-1所示。

                           

图2-1网赚公司运作模式

（2）专业的羊毛党：利用大量的设备和账号，通过伪造数据和刷单的方式薅羊毛，从企业活动中收益，专业羊毛党运作模式如图2-2所示。

图2-2专业羊毛党运作模式

（3）APP推广员：是利用各大QQ群或微信群进行金字塔式发展下线，获得顶层传销式获利，普通用户在使用此类APP时，不仅无法获取钱财，还会遭遇充值才能提现，或者无法提现的门槛等障碍，最后还会被其他三方骗取押金，如图1所示。

图2-3 APP推广员运作模式

网赚公司、专业羊毛党、APP推广员并不是独立存在的，在产业链中是相辅相成的。各大网赚平台构建推广渠道，通过现金激励等手段汇集大量用户，鼓励用户观看、点击广告、试玩游戏、电商购物等，为广告主带来大量新用户，实现三方互赢。

 

03

现状分析

本章节主要从应用名称、应用包名、行为属性、家族特征四个维度分析，了解这类应用的现状情况。

3.1应用名称分析

根据系统监测的数据显示，常用的应用安装名称为XX漫画（动漫）、XX福利（赚钱）、XX视频（直播）、吃鸡、XX红包（挂机）、18禁等等，这类应用大多数是冒充热门游戏、漫画，或者吸引眼球的应用名称，实际上目的是推送各种广告、诱导下载各类其他应用程序，冒充热门应用的安装名称情况如图3-1所示。

图3-1冒充热门应用的安装名称情况

3.2应用包名分析

安卓应用的包名是一个APP的唯一身份标示，通常应用包名一样系统就认为是同一个应用，正规的应用具备较高可读性，从包名能看出来那个公司开发的，比如：com.tencent.qq.xxx，腾讯公司QQ相关的软件。但是，不正规的应用就不一样了，通常这类应用包名是随便定义，很难看出是什么公司，什么应用，根据系统监测的数据显示，使用com.*.*.transshipment包名的最多，高达2684款应用，其次是com.*.*.revive.m4399，第三是com.*.*.drill，表1展示了使用了同一包名对应的应用数量TOP20情况。

表1 使用同一包名对应的应用数量TOP20情况

序号	包名	数量
1	com.**.transshipment	2684
2	com.**.m4399	2555
3	com.**n.drill	2113
4	com.**.gobble	2021
5	com.**.antithesis	1481
6	com.**.embed	1135
7	com.**.embarrassment	1046
8	cagate.**.**sixiaokeng	1003
9	com.emission.Irish.sloth	997
10	com.**.chancellor	939
11	com.**.glossy	738
12	com.**.particularly	703
13	com.**.authenticity	701
14	com.**.empyreal.nourishment	664
15	com.**.Britain	598
16	com.happy.belly.comport	587
17	com.**.shrink	531
18	com.**.treasurer	510
19	com.**.supporter	504
20	com.**.swindle.m4399	487

 

3.3行为属性分析

从上面应用名称和应用包名，我们知道这类应用名称冒充热门应用、吸引眼球的名字，应用标识使用杂乱无章的字符，毫无意义，其典型的行为特征如下5种：

（1）  运行后利用打码小视频诱导用户观看视频广告、下载推广应用；

（2）  会频繁出现弹窗广告和诱导安装推广软件，影响用户使用；

（3）  以免费刷点券或免费游戏辅助工具为由，诱导用户观看视频广告，安装推广软件；

（4）  含有大量色情淫秽信息，诱导用户推广下载软件；

（5）  运行后推广博彩等非法软件，引导用户下载。

按照移动互联网恶意程序的行为属性统计，主要是流氓行为和诱骗欺诈，行为属性分布情况如图3-2所示。

图3-2 移动互联网恶意程序按行为属性分布情况

3.4家族特征分析

根据系统监测的10000条数据，家族检测特征去重后是93个，但是应用名称却不相同，其中特征1的识别的样本数量是2300个，特征2识别的样本数量是777个，特征3识别的样本数量是610个，说明这类样本具有批量制作，相同家族的现象，不同家族特征识别样本数量TOP10情况如表2所示。

表2 不同家族特征识别样本数量TOP10情况

序号	家族特征	数量
1	特征1	2300
2	特征2	777
3	特征3	610
4	特征4	432
5	特征5	411
6	特征6	375
7	特征7	320
8	特征8	300
9	特征9	277
10	特征10	210

 

04

传播情况

从2021年11月份2022年2月份，系统监测发现该类样本2万+，其中2022年1月份最多13412个，其次是2021年12月份9676个，2021年11月份至2022年2月份推广获利类样本系统监测传播趋势图如图4-1所示。

图4-1 2021年11月份至2022年2月份推广获利类样本系统监测传播趋势图

随着移动互联网的发展，4G网络的普及和5G网络的推广，软件的推广方式已由传统的短信链接推广，扩展升级到QQ群推广、微信群推广，微信朋友圈邀请码等“传销裂变”方式进行传播（尤其以“某夕夕”最甚），从而达到最大限度的传播，为后续获利打下“坚实”的用户群体。

（1）QQ群传播：大量活跃的试玩QQ群，提供有偿外挂服务，赚钱推广任务发布，如图4-2所示：

图4-2活跃的QQ群

（2）微信群传播：针对朋友家人进行微信朋友圈邀请推广，如图4-3所示：

图4-3 微信群传播

05

获利方式

     

     这类应用看似不起眼的小生意，实际利润高的可怕，下面从广告弹窗、虚假刷单推广、传销式推广，简单的阐述这类应用是如何获利的。

（1）广告弹窗获利方式：应用广告弹窗，利用试玩攒金币可提现功能，诱导用户进行软件的下载试玩，用户在试玩提现时发现，根本没有对应金额入账，其目的是获取用户流量，广告弹窗获利方式如图5-1所示。

图5-1广告弹窗获利方式

（2） 虚假刷单获利方式：QQ群单向联系发布高回报刷单任务，同时收取保证金模式获利，这种存在缴纳保证金后无法提现的风险，图5-2是刷单代理的聊天记录。

图5-2 刷单代理的聊天记录

（3） 传销式推广获利方式：这种模式主要是让用户不断做任务或邀请新用户来赚取佣金，类似于传销式的发展下线来获利，一般普通用户在进行使用此类APP通常是无法达到领取钱财的任务要求，自然会放弃，费事费力，传销式推广获利方式如图5-3所示。

图5-3 传销式推广获利方式

06

总结

综上所述，这类推广获利类应用，已形成灰色产业链，同家族批量开发，传播，获利，主要是以冒充热门应用，游戏名称，运行后不断推送广告，要求做任务，赚金币提现, 邀请好友赚佣金等方式，诱导用户下载安装其他应用，以达到获取流量的目的，甚至要求用户缴纳保证金，做任务刷单等现象，给用户带来一定经济损失的风险。

恒安嘉新暗影移动安全实验室在此提醒广大用户，不轻易相信陌生人，不贪图小便宜，不轻易点击陌生人发送的链接，不轻易下载不安全应用，不安装非正规途径来源的APP。

• 安全从自身做起，建议用户在下载软件时，到正规的应用商店进行下载正版软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害；

• 很多用户受骗正是因为钓鱼短信的发件人显示为10086、95588等正常号码而放松安全警惕导致中招，运营商需要加强对伪基站的监控打击力度，减少遭受伪基站干扰的几率；

• 各大银行、各支付平台需要加强对各自支付转账渠道的监管，完善对用户资金转移等敏感操作的风控机制，防止被不法分子利用窃取用户网银财产;

• 警惕各种借贷软件的套路，不要轻易使用借贷类App。

暗影移动安全实验室（EversecLab）是恒安嘉新移动安全能力的支撑部门，由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成，专注于移动安全技术创新与研究，以及移动互联网应用安全的生态建设，包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎，支持动态检测引擎（动态沙箱技术）、静态检测引擎、AI检测引擎，样本库积累千万级，PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘，精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展，大屏态势感知展示等等。

 “安全创造价值”–暗影移动安全实验室坚持以安全为核心，研究为己任，继续创新和开发解决用户问题和行业痛点的产品，为国家的网络安全事业保驾护航。

原文始发于微信公众号（暗影安全实验室）：一种推广获利类应用的现状分析