一部手机同时操作多账号?改机工具比特指纹手机原理分析及处置建议

admin 2023年4月25日23:37:38评论144 views字数 3072阅读10分14秒阅读模式

一部手机同时操作多账号?改机工具比特指纹手机原理分析及处置建议


为了吸引更多用户关注,企业纷纷推出各种促销、拉新营销活动,但同时也吸引了依靠薅羊毛、刷单获利的黑灰产团伙的注意。


为在短时期内获利,黑灰产会采用各种攻击技术实现批量自动化攻击,改机是最常用的技术之一。


改机是指通过特定技术,修改手机品牌、型号、串码、IMEIMAC地址等设备信息,从而“伪装”成一台新设备,黑产可借此批量伪造新设备来绕过风控作恶。


威胁猎人《2022年黑灰产业研究报告》提到,目前改机工具主要包括:软件改机、ROM改机、硬件改机,其中ROM改机是最主流、隐蔽、难以被检测的方式其技术核心原理是通过修改Android源代码改机。

近期,威胁猎人Karma风险情报平台就捕获到一款ROM改机手机——比特指纹手机


该手机能更全面地伪造系统属性,绕过设备指纹的风控策略,防守方很难发现改机风险,黑灰产借此作恶成功的概率更高,其核心优势表现在以下3个方面


1不改硬件就能改机,黑产难露马脚


一般的改机工具,需要修改IMEI、IMSI、硬件序列号、MAC地址等硬件的唯一ID值,才能实现改机。但出于保护用户隐私,在ASOP10之后版本的系统,以上提到的唯一ID值不能再修改,断绝了很多改机工具的“后路”。


比特指纹手机在ASOP11版本系统的源代码基础上进行修改,不用修改以上提到的硬件信息就能改机,相对其他改机工具修改的信息更少,因此露马脚被防守方发现的可能性更低,改机的成功率更高。


2. 模拟手机特征属性改机,有效规避风控策略


防守方APP会采集文件、系统的一些特征值,比如某些目录的创建时间、ID值等,辅助计算设备指纹,制定风控策略。而比特指纹手机会针对性地篡改以上提到的信息,帮助攻击方躲避风控策略


除此之外,比特指纹手机模拟真机细节十分到位,难被风控系统发现是改机,以伪造某手机系统为例:


在伪造系统属性时,比特指纹手机全面模拟下方展示的该手机的特征属性(已做打码处理),堪比真机系统。

"ro.xxxx.os.build.display.id","ro.xxxx.os.name","ro.xxxx.os.version","ro.xxxx.product.version","ro.xxxx.product.overseas"


3. 新增备份和还原功能,更贴合黑灰产业务需求


一般的改机工具只有一键改机功能,除此之外,比特指纹手机新增一键备份和和备份还原功能,更贴合黑灰产业务实际需要,其典型应用场景如下:


批量注册账号:使用比特指纹手机的一键新机功能,黑灰产可以快速模拟不同厂商手机的设备参数,绕过设备侧的风控策略,轻松批量注册账号,极大提高了攻击效率。


单台设备批量养号作业:使用比特指纹手机的一键备份和备份还原功能,黑灰产可以快速切换和操作多个账号,辅以自定义的模拟点击脚本,单台设备就能批量养小号,不仅效率高,而且能节省大量的设备采购费用。

为验证以上场景,威胁猎人安全研究员使用比特指纹手机的一键新机功能,多次注册某电商APP的账号,并结合一键备份还原功能,成功在一台比特指纹手机上批量注册账号和批量养号。


一部手机同时操作多账号?“改机工具”比特指纹手机原理分析及处置建议

注:利用比特指纹手机批量养的账号


一、比特指纹手机技术原理和操作方法


对症下药,才能将问题连根铲除。威胁猎人安全研究员以如下样本为例,研究了比特指纹手机一键新机、一键备份、一键还原功能的技术原理,进而分析针对比特指纹手机改机的最佳处置方案。

一部手机同时操作多账号?“改机工具”比特指纹手机原理分析及处置建议

1. 一键新机

一键新机是比特指纹手机最核心的功能,其工作原理是:从云端获取新机型信息,将机型信息做成各种各样的配置文件,如内核配置文件、Android framework配置文件等,并定制AOSP源码和Iinux内核源代码。


改机需要修改某设备属性值时,定制化的内核或者Framework会读取解析相关配置文件,以此获取新的属性值加以修改,实现一键新机。


“一键新机”的操作可归纳为三步,如下图所示:


一部手机同时操作多账号?“改机工具”比特指纹手机原理分析及处置建议


2. 一键备份

完成一键新机后,黑灰产即可执行“业务操作”,例如注册+养号。业务执行完毕后,可以通过比特指纹手机一键备份当前使用的SD卡数据、APP数据等配置信息,方便以后继续操作。


一键备份功能的工作原理是:执行打包命令备份数据目录,将备份数据储存在目录中,以如下样本比为例,他的备份数据保存在:

/storage/xxxx/appbackup/xxxx(路径已做打码处理)。


touch /storage/xxxx/appbackup//runtar.txt tar -cvf  /storage/xxxx/appbackup/xxxx/data.tar --exclude=DCIM --exclude=socket_pipe --exclude=lib --exclude=*.socket --exclude=now.txt --exclude=atx-agent.daemon.log --exclude=atx-agent.log /data/data/com.youapp.name  /sdcard/*  /data/data/fun.kitsunebi.kitsunebi4android/*  /data/app/~~xJvrRQqtPB5OfBkmfbU9bA==/com.xxxx.sg-iUHeLpGm8jT9DbxciaAh_g==/oat  /data/system/users/0/settings_ssaid.xml rm -f /storage/xxxx/appbackup/runtar.txtyi


“一键备份”的操作可归纳为两步,如下图所示:


一部手机同时操作多账号?“改机工具”比特指纹手机原理分析及处置建议

3. 一键还原

一键还原过程与一键新机过程类似,区别在于:


1)无需去云端获取配置信息,而是使用本地保存的配置信息;

2)使用备份的Sdcard数据和APP数据,解压到对应的目录即可。


“一键还原”的操作可归纳为两步,如下图所示:


一部手机同时操作多账号?“改机工具”比特指纹手机原理分析及处置建议


三、风险处置建议


比特指纹手机很容易被黑产利用改机实施恶意攻击,导致活动吸引来大量没有价值的“沉默用户”,给企业带来损失。


对此,威胁猎人情报专家建议,采取以下方法识别比特指纹手机,再进一步处置,避免风险扩大:


1)检测配置文件

比特指纹手机运行时,会创建大量的配置文件,企业可以通过检测这些配置文件来识别比特指纹手机,常见的配置文件如下:

/data/system/device_sensors.json 传感器配置文件

/data/system/d1 系统属性配置文件

/sys/devcfg/wifimac wifimac配置文件


2)检测系统服务

比特指纹手机修改了系统框架层,新增了自己的配置系统服务,通过该服务统一管理各种设备的配置信息,在改机时直接调用配置系统服务,即可获得所需信息。APP可以检测手机是否存在该配置系统服务,来识别比特指纹手机。


3)检测可信ROM

比特指纹手机修改的信息可能不是很全面,防守方应该在合规的前提下,尽可能多搜集主流ROM的系统属性、硬件类型等信息,再根据这些信息判断APP是否运行在可信的ROM上。


面对高速迭代、日趋成熟、隐匿能力持续升级的改机技术,企业难以从单一技术角度与之正面对抗。


威胁猎人的设备风险情报,自动监测ROM改机、软件改机、硬件改机等改机技术,能做到及时发现和分析黑灰产在改机上使用的最新工具和资源情报,助力企业进行针对性防御,快速阻断风险。



2023年1月5日,永安在线进行品牌焕新,正式更名为“威胁猎人”(详见:成立6周年,威胁猎人焕新回归)。

原文始发于微信公众号(威胁猎人Threat Hunter):一部手机同时操作多账号?“改机工具”比特指纹手机原理分析及处置建议

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月25日23:37:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一部手机同时操作多账号?改机工具比特指纹手机原理分析及处置建议https://cn-sec.com/archives/1691179.html

发表评论

匿名网友 填写信息