介于目前黑产疯狂的发展的势头,我带大家扒拉一下近几年移动端黑产的水,给风控们提供一些内料。
近几年比较流行的SAAS服务的概念已经深入人心,即按需为用户提供软件服务。同样的在黑灰产业中,也形成了非常专业的 BAAS 服务( Black production-as-a-Service)。目前黑产的软件市场主要包括三大类型的软件:提高作业效率的自动化脚本、对抗平台风控检测的软件和服务、在不同业务中会使用到的辅助工具。
框架情况
Magisk(面具)
基本原理
Magisk作为黑产中常用的基本框架是必不可少的框架,其中以提供ROOT和代码注入作为主要功能。Magisk 通过启动时在 boot 中创建钩子,把/data/magisk.img 挂载到 /magisk,构建出一个在system 基础上能够自定义替换,增加以及删除的文件系统,所有操作都在启动的时候完成,实际上并没有对 /system 分区进行修改(即 systemless 接口,以不触动 /system 的方式修改/system)。根据 Magisk 平台可以自定义文件系统功能,从而实现修改系统参数等操作。
检测方法
检测是否存在/data/magisk.img和/magisk
检测Magisk的App(包名:com.topjohnwu.magisk)
Xposed
基本原理
Android系统中的应用进程都是由Zygote进程fork出来的,而Zygote进程是由Init进程启动的,Zygote进程在启动时会创建一个Dalvik/ART虚拟机实例,Xposed通过替换安卓/system/bin/app_process和/system/bin/app_process64文件将代码注入zygote进程,使得它在系统启动的过程中会加载Xposed framework的XposedBridge.jar文件,从而完成对Zygote进程及其创建的Dalvik/ART虚拟机的劫持,并且能够允许开发者劫持任何App的Java接口和数据。
检测方法
该框架已经被风控研究多年,并且已经停止维护,在实际应用中已经没有多大伤害性。
常用检测方法有:类名检测法、maps检测法、内存扫描法
Maps关键字:XposedBridge.jar、libxposed
Zposed
Zposed是国内黑产定制出的Xposed魔改框架,已经去除了99%的Xposed特征,在国内黑产圈流传甚广。占据了70%的黑产改机市场。
特征公开
Zposed
App包名:zpp.wjy.zposed.installer
特征文件:/system/bin/app_process_zposed、/system/bin/app_process64_zposed、/system/framework/ZposedBridge.jar、/system/lib/libzposed_art.so、/system/lib64/libzposed_art.so
Maps特征:ZposedBridge.jar、libzposed_art.so
具体情报看下面附件。
本文始发于微信公众号(白安全组):2021年黑产风控和研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论