علمت الأمن من تينسنت، تينسنت مكافحة الغش مختبر الأمن لتعقب STORM، والتعامل مع كل يوم، وقراءة برج هناك عدد من التطبيقات لتحميل الخبيثة دون حزمة الأدب متكاملة لSDK، عرض ويب مع النصي شبيبة بواسطة فرشاة في حال كان المستخدم لا يرى بايدو الدعاية الخبيثة.
وقد وضعت SDK الخبيثة من خلال طلب رسمي من العديد من مطوري التطبيقات، كل تطبيق من خلال قنوات التوزيع لمس حتى عشرة ملايين المستخدمين، وراء الأسود التي تنتجها الباب الظهير الايسر عن طريق التحكم SDK الخبيثة الملايين من المستخدمين، وكمية فرشاة الشعر تحت ديناميكية الرمز، فرشاة عدد كبير من مرات ظهور الإعلان والنقرات، وكسب الكثير من الدعاية التكاليف للمعلنين تسبب قدرا هائلا من الخسائر الإعلان.
وفقا لتحليل مفصل لأفراد الأمن، وSDK الخبيثة في المقام الأول في الميزات التالية:
1، وSDK 1000 + ألف مطوري التطبيقات ومطوري التطبيقات من خلال قنوات التوزيع وصول المستخدم. وتشمل التطبيقات مغطاة بشكل رئيسي من خلال المنازل النخيل، STORM، والتعامل مع كل الأدب اليوم، برج القراءة والتأثير المحتمل على الملايين من المستخدمين.
2، حزمة الكم فرشاة من تحميل وتحميل مرات، والحصول على كمية من المهام فرشاة من الخادم، وذلك باستخدام عرض ويب لمخطوطات تحميل شبيبة تنفيذها في حال كان المستخدم لا يدرك كمية تفريش المهام أتمتة.
جلبت هذه الحركة إنتاج الأسود إلى الدعاية التقليدية تحديات كبيرة لمكافحة الغش، ومكافحة الغش استراتيجيات التمثيل التقليدي للبيانات من خلال IP، وتواتر التعرض، من خلال النقر معدل تكوين هذه الرقابة من الصعب تحديد عدد كبير من الأجهزة الحقيقية تفعل "الدجاج" كمية فرشاة الغش، مما يجعل من رسوم إعلانية كبيرة في أيدي الإنتاج سوداء، ولكن لا يمكن أن يحقق التأثير الصحيح من الإعلانات للمعلنين.
عمليات SDK والشر نفوذ
هذا SDK الخبيثة متكاملة في هذا الجزء من التعليمات البرمجية في التطبيق لا توفر وظائف الفعلية، والتي سوف تقارير منتظمة تسمى المعلومات ذات الصلة الجهاز، احصل على رابط التحميل ديناميكية حزمة الفرعية، حزمة التنزيل وتحميل المكالمات الطفل. ثم حزمة الطفل بتنفيذ سلوك ضار المقابلة.
الخبيثة مخطط تدفق SDK الشر:
قائمة التطبيقات الرئيسية لSDK الخبيثة أثرت على:
الشر إجراء تحليل مفصل لSDK الخبيثة
هذا SDK الضارة هو عدد كبير من مطوري التطبيقات الصغيرة والمتوسطة على الاندماج، لدينا لتطبيق الأدب برج قراءة كمثال على ذلك، تحليلا مفصلا للسلوك الخبيثة.
SDK هيكل الشيفرات الخبيثة
هذا الرمز هو أقل الإستراحة، لا وظيفة حقيقية. والتي يتم تحميلها بعد أن يحتج، وتحديد مهمة كل الموقت 3600 ثانية (1 ساعة) ابدأ GatherService، تفيد معلومات الجهاز، والحصول على حيوية وصلة التحميل دون حزمة __gather_impl.jar
ترتبط GatherService الخادم للحصول على __gather_impl.jar رابط التحميل
طلب الرابط: http: //gather.andr****.com: 5080 / gupdate / V1
وتشمل طلب البيانات: رمز المستخدم، وتطبيق اسم الحزمة، معرف الجهاز، إصدار التطبيق، والشركة المصنعة للهاتف المحمول، نموذج، إصدار نظام، IMEI، الإصدار الإستراحة الخ
إرجاع المحتوى: بما في ذلك إصدار حزمة الفرعية، تحميل رابط، MD5 ملف
تحميل الديناميكي تحميل __gather_impl.jar
__Gather_impl.jar بنية حزمة دون رمز، وظائف حزمة فرعية رئيسية هي: 1، ومعدات المستخدم معلومات تحميل 2، وحيوي تحميل الحزم دون تحميل القانون الأساسي، impl.jar
1)، ملقم مرتبط، معلومات الجهاز المستخدم تحميل
رابط الخادم: HTTP: //userdata.andr****.com/userdata/userdata.php (هذا رابط لم يعد صالحا في وقت التحليل، فإنه لا يمكن أن تكون مرتبطة)
تقرير المحتوى: بما في ذلك معلومات الموقع (خطوط الطول والعرض)، وقائمة المستخدمين لتثبيت (اسم البرنامج، اسم الحزمة)، معلومات المعدات (الصانع، نموذج، بصمات الأصابع، ما إذا كان الجذر)، deviceid، رقم الهاتف، والمشغلين، IMEI، ماك وهلم جرا.
2)، تطلب مرة أخرى خادم للحصول على رابط التحميل القانون الأساسي، impl.jar
طلب الرابط: http: //iupd.andr****.com: 6880 / wupdate / V1
بيانات الطلب: بما في ذلك رمز المستخدم المحتوى، IMEI، الإصدار الإستراحة، والشركة المصنعة للهاتف المحمول، نموذج، إصدار نظام، وتطبيق اسم الحزمة، معرف الجهاز، الجهاز مجموعة التعليمات
إرجاع المحتوى: بما في ذلك إصدار حزمة الفرعية، تحميل رابط، MD5 ملف
بعد اكتمال التحميل حزم الفرعية، استدعاء الأصلي تحميل طريقة ديناميكية هذه الحزمة الفرعية
القانون الأساسي-impl.jar هيكل كود:
بعد تحميل حزمة الفرعية القانون الأساسي، impl.jar، سيتم بدء تشغيل com.drudge.rmt.g موضوع، وظيفتها الرئيسية هي لتنظيف كمية من الشبكات للحصول على المهام والمهام المجدولة للتنفيذ.
وتشمل المهام الرئيسية كمية فرشاة: 1، بايدو فرشاة كلمات البحث، و 2، وذلك باستخدام شبيبة النصي انقر تلقائيا، انتقل إلى فرشاة مبلغ مائة مليون الإعلانات بايدو والنقرات على الإعلانات، 3، وذلك باستخدام الوصول إلى شبكة الإنترنت فرشاة عرض ويب.
1، بايدو فرشاة كلمات البحث
هذه المهمة على أساس سلسلة سلمان المكتسبة، عملية المقابلة، بما في ذلك وضع BAIDUID وتحديث التكوين، والمهام الإضافية، شريطة الحافظة واستخدام الكلمات الرئيسية للبحث بايدو فرشاة
مجموعة الكلمات الرئيسية، استخدم تحميل رابط عرض ويب المقابلة
بايدو فرشاة القبض الكلمة طلب تحميل عرض ويب:
ملقم مرتبط HTTP: //tw.andr****.com: 6080 / wtask / V1 المهام المتعلقة بالاستحواذ، ومحتويات مهمة في / الكاش / دليل ابل
2، وذلك باستخدام شبيبة الإعلان النصي فرشاة بايدو
تحميل استخدام عرض ويب وتنفيذ البرنامج النصي شبيبة بعد التحميل هو كاملة الشرائح التلقائي، انقر فوق، حفظ وغيرها من العمليات تلقائيا فرشاة الإعلان
النصي ذات شبيبة
1)، شبيبة انزلاق تعريف الدالة، انقر فوق، عملية الحفاظ
جافا تحليل طبقة وتحقيق شبيبة نقل طبقة من قيادة عمليات
2)، تحدد شبيبة وظيفة وتكتسب عنصر الصفحة
...
3)، وظيفة شبيبة بحساب الوضع النسبي للعناصر الصفحة، وانقر الشريحة العملية
...
فرشاة القبض على طلب بايدو إعلان تحميل عرض ويب:
3، وذلك باستخدام الوصول إلى شبكة الإنترنت فرشاة عرض ويب
تتطلب هذه المهمة صول الطلب رابط تصل إلى الخادم، وبعد الحصول على المقابلة رابط صفحة على شبكة الإنترنت، واستخدام تحميل عرض ويب للزيارة.
احتياجات رابط URL لطلب الوصول
طلب رابط
إرجاع محتويات
< "Http://m.xinshiye.cc/cars/17/10/21/707989.html؟content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm2FQqzCVcw2dvukMqw25Q3D3Du0026_t=1511190410"
"Http://m.xinshiye.cc/cars/17/10/11/234818.html؟content_id=234818u0026key=NzLZyHQXsCdpS6bkAWab2LSzd2XApbGOJYUuN2Bm4PFsoWk1l2FnZSD8M1yp1cuhz2FdL0uoNG93TVt8ai6zEU2BQw3D3Du0026_t=1511190560"
"Http://m.xinshiye.cc/cars/17/11/26/1769446.html؟content_id=1769446u0026key=8KLxL1fm2gwNDxqT6nsSAbQ07kcEZRHBrekhzNSJcNaAg1nZmbW49pQ3EaEYJfMUeMlwSX4KzdliXJ3O37fs9g3D3Du0026_t=1513046929"
"Http://m.xinshiye.cc/cars/17/10/31/1444661.html؟content_id=1444661u0026key=mODVhDy0zyzBGH1G6sTwDYXqiy3D7pDfymsirda6s52BW8tarfIDPjuhT3mkqeMMDKzKr2BFVC2Py2gzsNkMniHw3D3Du0026_t=1509589907"
"Http://m.xinshiye.cc/cars/17/12/09/1921549.html؟content_id=1921549u0026key=0XFxkCX0Bn4k2Fw52FqvlSIOCREqEWoJ5jimqn2BZAeJIwksQzydyT0AZFAVZJAritm3hpGza4TFNlONZDtoY2BfTA3D3Du0026_t=1513045278">
استخدام عرض ويب الحصول على رابط الوصول
فرشاة القبض جيدة كما طلب الطبيب اللياقة البدنية تحميل عرض ويب الشبكة:
التشطيب URL ذات الصلة
توصيات السلامة والتدابير الوقائية
التطبيقات الخبيثة الروبوت من نهاية الأخيرة من ممارسات الشر من رأي، ونقل المطورين أكثر الخبيثة مباشرة من مطوري التطبيقات لتطوير التطبيقات SDK تحولت، تطبيقات الروبوت لسلسلة التوريد المنبع. من خلال توفير SDK الخبيثة لمطوري التطبيقات، يمكن للمطورين الخبيثة إعادة استخدام قنوات التوزيع لهذه التطبيقات، فعالة جدا توسيع نطاق تأثير المستخدم.
من حيث فئات والممارسين إنتاج الأسود SDK الخبيثة في المقام الأول التركيز على الإدراك المستخدم من كمية خالية من الاعلانات من فرشاة وفرشاة الاتجاه كمية الموقع، تقنيات التحميل باستخدام الفصل رمز ودينامية رمز، والتنفيذ الفعلي يمكن أن يكون الشعر تماما من تحت سحابة رموز، والسيطرة على جهاز المستخدم ك "الدجاج" الدعاية، والمواقع وغيرها من السلوك حجم الإنتاج فرشاة الأسود، مع سرية قوية.
إنتاج هذه التدفقات من نوع الأسود تدريجيا، ليس فقط سبب ضرر لمستخدمي الهواتف النقالة، ولكن أيضا لنهاية الإعلان المتنقلة لمكافحة الغش يشكل تحديا كبيرا للاستراتيجيات التقليدية الغش معاداة على أساس الملكية الفكرية، وتواتر التعرض، ونسبة النقر إلى الظهور وغيرها من تمثيل البيانات شكلت هذه السيطرة من الصعب تحديد عدد كبير من الأجهزة الحقيقية تفعل "الدجاج" كمية من الغش فرشاة، فمن الصعب حماية مطوري التطبيقات والمعلنين الحقوق والمصالح المشروعة.
بالنسبة للمستخدمين النهائيين، وتوصيات السلامة التالية:
1، إلى أقصى حد ممكن استخدام التطبيقات الشرعية وتطبيق APP الرسمي المتاحة في السوق.
2، حتى لو كان التحديث الأمني جهاز الهاتف النقال.
3، وتركيب مدبرة الهاتف المحمول وغيرها من البرامج الأمن والحماية في الوقت الحقيقي.
