01
总体概述
2022年2月25日,中国互联网络信息中心(CNNIC)发布第49次《中国互联网络发展状况统计报告》(以下简称“报告”),该报告指出,截至2021年12月,我国网民规模达10.32亿,在网民中,即时通信、网络视频、短视频用户使用率分别为97.5%、94.5%和90.5%,用户规模分别达10.07亿、9.75亿和9.34亿。随着移动互联网的高速发展,各行各业的移动应用程序应运而生,给用户带来众多便利,但也存在众多违规的应用,早期市场上利用预装,明扣或暗扣进行收益,随着运营商监管加大治理,这类应用越来越少,现阶段出现许多新的方式,利用“擦边球”、应用加固等方式绕过监管,运行后分析用户的行为,收集用户的上网数据,待时机成熟时,开始给用户推送各类“赚钱”,“免费”的广告,点击即下载,或者利用现金激励,高价值商品1元购,看视频的金币、博眼球的应用名称等手段,先汇集了大量的用户入群,然后每日发布任务,鼓励用户观看、点击广告、试玩游戏、电商购物等,给一定的佣金,但其目的是为广告主带来大量新用户流量,进而自己得到佣金收益,用户并无法得到什么,就算能得到也非常少,或者设置许多提现门槛,无法提现。
近期,恒安嘉新暗影移动安全实验室APP全景态势与案件情报溯源挖掘系统(以下简称“系统”)监测发现2万多款应用,存在同样的行为特征,文件大小相似,开发者证书相同,但签名MD5却不同,引起了分析人员的关注,研究发现主要是推广类和网赚类应用,其中推广类(包含外挂、视频、漫画等)占比接近70%,其次为网赚类(福利、赚钱、红包等)接近30%,本文将将随机抽取10000个应用,从运作模式、现状分析、传播情况、获利方式4个维度进行分析,让大家对这类推广获利类应用有个初步的了解,同时提醒广大用户不要贪图小便宜,不要私自下载安装未知的应用,以免给自己个人信息和经济带来一定的安全风险。
系统自主监测的截图如图1-1所示:
如图1-1系统自主监测截图
02
运作模式
研究发现这类应用逐渐已经形成灰色产业链,其产业链最终受益的主要分为三类人群:网赚公司、专业羊毛党、APP推广员,下面分别阐述这三类受益人员的运作模式。
(1)网赚公司:简单的说就是利用网络赚钱的公司,一般是利用电脑、服务器等设备通过Internet(因特网)从网络上获利的赚钱方式。从这批应用的行为来看,主要是诱导推广和广告弹窗两种模式,其中诱导推广模式主要以现金、金币诱导用户来下载软件或阅读文章,利用传销式的运作模式发展下线,在用户提现时设置门槛,无法提现,间接的为广告主增加用户流量,自己赚取佣金;广告弹窗模式主要是模仿一些热门游戏或漫画,嵌入SDK模块后上传至各大传播渠道,当程序运行时,在后台加载广告弹窗,模拟用户点击,达到流量获利的目的。开发人员会快速定制不同需求的APP,利用上述两种模式快速变现,网赚公司运作模式如图2-1所示。
图2-1网赚公司运作模式
(2)专业的羊毛党:利用大量的设备和账号,通过伪造数据和刷单的方式薅羊毛,从企业活动中收益,专业羊毛党运作模式如图2-2所示。
图2-2专业羊毛党运作模式
(3)APP推广员:是利用各大QQ群或微信群进行金字塔式发展下线,获得顶层传销式获利,普通用户在使用此类APP时,不仅无法获取钱财,还会遭遇充值才能提现,或者无法提现的门槛等障碍,最后还会被其他三方骗取押金,如图1所示。
图2-3 APP推广员运作模式
网赚公司、专业羊毛党、APP推广员并不是独立存在的,在产业链中是相辅相成的。各大网赚平台构建推广渠道,通过现金激励等手段汇集大量用户,鼓励用户观看、点击广告、试玩游戏、电商购物等,为广告主带来大量新用户,实现三方互赢。
03
现状分析
本章节主要从应用名称、应用包名、行为属性、家族特征四个维度分析,了解这类应用的现状情况。
3.1应用名称分析
根据系统监测的数据显示,常用的应用安装名称为XX漫画(动漫)、XX福利(赚钱)、XX视频(直播)、吃鸡、XX红包(挂机)、18禁等等,这类应用大多数是冒充热门游戏、漫画,或者吸引眼球的应用名称,实际上目的是推送各种广告、诱导下载各类其他应用程序,冒充热门应用的安装名称情况如图3-1所示。
图3-1冒充热门应用的安装名称情况
3.2应用包名分析
安卓应用的包名是一个APP的唯一身份标示,通常应用包名一样系统就认为是同一个应用,正规的应用具备较高可读性,从包名能看出来那个公司开发的,比如:com.tencent.qq.xxx,腾讯公司QQ相关的软件。但是,不正规的应用就不一样了,通常这类应用包名是随便定义,很难看出是什么公司,什么应用,根据系统监测的数据显示,使用com.*.*.transshipment包名的最多,高达2684款应用,其次是com.*.*.revive.m4399,第三是com.*.*.drill,表1展示了使用了同一包名对应的应用数量TOP20情况。
表1 使用同一包名对应的应用数量TOP20情况
|
序号 |
包名 |
数量 |
|
1 |
com.**.transshipment |
2684 |
|
2 |
com.**.m4399 |
2555 |
|
3 |
com.**n.drill |
2113 |
|
4 |
com.**.gobble |
2021 |
|
5 |
com.**.antithesis |
1481 |
|
6 |
com.**.embed |
1135 |
|
7 |
com.**.embarrassment |
1046 |
|
8 |
cagate.**.**sixiaokeng |
1003 |
|
9 |
com.emission.Irish.sloth |
|
|
10 |
com.**.chancellor |
939 |
|
11 |
com.**.glossy |
738 |
|
12 |
com.**.particularly |
703 |
|
13 |
com.**.authenticity |
701 |
|
14 |
com.**.empyreal.nourishment |
664 |
|
15 |
com.**.Britain |
598 |
|
16 |
com.happy.belly.comport |
587 |
|
17 |
com.**.shrink |
531 |
|
18 |
com.**.treasurer |
510 |
|
19 |
com.**.supporter |
504 |
|
20 |
com.**.swindle.m4399 |
487 |
3.3行为属性分析
从上面应用名称和应用包名,我们知道这类应用名称冒充热门应用、吸引眼球的名字,应用标识使用杂乱无章的字符,毫无意义,其典型的行为特征如下5种:
(1) 运行后利用打码小视频诱导用户观看视频广告、下载推广应用;
(2) 会频繁出现弹窗广告和诱导安装推广软件,影响用户使用;
(3) 以免费刷点券或免费游戏辅助工具为由,诱导用户观看视频广告,安装推广软件;
(4) 含有大量色情淫秽信息,诱导用户推广下载软件;
(5) 运行后推广博彩等非法软件,引导用户下载。
按照移动互联网恶意程序的行为属性统计,主要是流氓行为和诱骗欺诈,行为属性分布情况如图3-2所示。
图3-2 移动互联网恶意程序按行为属性分布情况
3.4家族特征分析
根据系统监测的10000条数据,家族检测特征去重后是93个,但是应用名称却不相同,其中特征1的识别的样本数量是2300个,特征2识别的样本数量是777个,特征3识别的样本数量是610个,说明这类样本具有批量制作,相同家族的现象,不同家族特征识别样本数量TOP10情况如表2所示。
表2 不同家族特征识别样本数量TOP10情况
|
序号 |
家族特征 |
数量 |
|
1 |
特征1 |
2300 |
|
2 |
特征2 |
777 |
|
3 |
特征3 |
610 |
|
4 |
特征4 |
432 |
|
5 |
特征5 |
411 |
|
6 |
特征6 |
375 |
|
7 |
特征7 |
320 |
|
8 |
特征8 |
300 |
|
9 |
特征9 |
277 |
|
10 |
特征10 |
210 |
04
传播情况
从2021年11月份2022年2月份,系统监测发现该类样本2万+,其中2022年1月份最多13412个,其次是2021年12月份9676个,2021年11月份至2022年2月份推广获利类样本系统监测传播趋势图如图4-1所示。
图4-1 2021年11月份至2022年2月份推广获利类样本系统监测传播趋势图
随着移动互联网的发展,4G网络的普及和5G网络的推广,软件的推广方式已由传统的短信链接推广,扩展升级到QQ群推广、微信群推广,微信朋友圈邀请码等“传销裂变”方式进行传播(尤其以“某夕夕”最甚),从而达到最大限度的传播,为后续获利打下“坚实”的用户群体。
(1)QQ群传播:大量活跃的试玩QQ群,提供有偿外挂服务,赚钱推广任务发布,如图4-2所示:
图4-2活跃的QQ群
(2)微信群传播:针对朋友家人进行微信朋友圈邀请推广,如图4-3所示:
图4-3 微信群传播
05
获利方式
这类应用看似不起眼的小生意,实际利润高的可怕,下面从广告弹窗、虚假刷单推广、传销式推广,简单的阐述这类应用是如何获利的。
(1)广告弹窗获利方式:应用广告弹窗,利用试玩攒金币可提现功能,诱导用户进行软件的下载试玩,用户在试玩提现时发现,根本没有对应金额入账,其目的是获取用户流量,广告弹窗获利方式如图5-1所示。
图5-1广告弹窗获利方式
(2) 虚假刷单获利方式:QQ群单向联系发布高回报刷单任务,同时收取保证金模式获利,这种存在缴纳保证金后无法提现的风险,图5-2是刷单代理的聊天记录。
图5-2 刷单代理的聊天记录
(3) 传销式推广获利方式:这种模式主要是让用户不断做任务或邀请新用户来赚取佣金,类似于传销式的发展下线来获利,一般普通用户在进行使用此类APP通常是无法达到领取钱财的任务要求,自然会放弃,费事费力,传销式推广获利方式如图5-3所示。
图5-3 传销式推广获利方式
06
总结
综上所述,这类推广获利类应用,已形成灰色产业链,同家族批量开发,传播,获利,主要是以冒充热门应用,游戏名称,运行后不断推送广告,要求做任务,赚金币提现, 邀请好友赚佣金等方式,诱导用户下载安装其他应用,以达到获取流量的目的,甚至要求用户缴纳保证金,做任务刷单等现象,给用户带来一定经济损失的风险。
恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不贪图小便宜,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。
-
安全从自身做起,建议用户在下载软件时,到正规的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;
-
很多用户受骗正是因为钓鱼短信的发件人显示为10086、95588等正常号码而放松安全警惕导致中招,运营商需要加强对伪基站的监控打击力度,减少遭受伪基站干扰的几率;
-
各大银行、各支付平台需要加强对各自支付转账渠道的监管,完善对用户资金转移等敏感操作的风控机制,防止被不法分子利用窃取用户网银财产;
-
警惕各种借贷软件的套路,不要轻易使用借贷类App。
暗影移动安全实验室(EversecLab)是恒安嘉新移动安全能力的支撑部门,由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成,专注于移动安全技术创新与研究,以及移动互联网应用安全的生态建设,包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎,支持动态检测引擎(动态沙箱技术)、静态检测引擎、AI检测引擎,样本库积累千万级,PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘,精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展,大屏态势感知展示等等。
“安全创造价值”–暗影移动安全实验室坚持以安全为核心,研究为己任,继续创新和开发解决用户问题和行业痛点的产品,为国家的网络安全事业保驾护航。
原文始发于微信公众号(暗影安全实验室):一种推广获利类应用的现状分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论