第一章 勒索中的“代刷”勒索軟件是指啟動後通過置頂自身窗口或重置鎖機密碼強制鎖定用戶桌面、使用戶無法正常使用設備,並以支付解鎖對用戶進行勒索的軟件。近年來,Android平臺勒索軟件以其高危害、高偽裝性、難卸載等特點一直是360烽火實驗室關註的重點。針對勒索軟件擅於偽裝成特定流行軟件進行傳播的現象,360烽火實驗室對Android平臺勒索軟件偽裝類別及相關產業進行瞭持續跟蹤與分析。在2018年3月初發表的《勒索軟件“假面”系列——免流軟件》中,我們已經介紹瞭勒索軟件的一類“假面”——免流軟件,並對免流產業現狀、原理與危害做瞭詳細闡述。近期,我們把目光瞄準瞭一類比免流軟件更加常見的偽裝類別——代刷代掛類軟件(以下簡稱代刷軟件)。一、勒索軟件偽裝類別分佈從勒索軟件偽裝類別分佈情況可以看到,勒索軟件偽裝類別以色情和黑客工具為主,而在黑客工具中,代刷類占比位列第二,僅次於外掛、輔助類。勒索軟件偽裝類別分佈二、主流的偽裝類別——代刷軟件偽裝成代刷軟件的勒索軟件名稱多為“XX代刷”、“XX代掛”或“XX業務”,實際運行後會置頂特定窗口阻止用戶進入桌面,或者申請設備管理器鎖屏密碼相關權限並在用戶授權後實施鎖屏。冒充代刷軟件的勒索軟件截止到2018年3月,360烽火實驗室共捕獲到超過20萬個代刷軟件,其中惡意勒索軟件占比高達57.4%,這些軟件打著代刷、代掛的幌子誘導用戶下載、安裝或激活設備管理器,隨後對用戶進行鎖屏勒索,給用戶設備與財產安全帶來瞭嚴重威脅。大量勒索軟件偽裝成代刷軟件傳播充分反映瞭代刷軟件擁有著可觀的市場空間。實際上,隨著近兩年來移動社交軟件與視頻直播軟件的流行,越來越多的用戶開始關註自身賬戶等級、特權、以及粉絲量等指標,以少量金錢、時間換取高賬戶特權等級、高粉絲量成為瞭部分用戶的強烈訴求,代刷軟件由此“應運而生”並飛速傳播開來。通過對代刷軟件進行持續跟進與分析後發現,代刷軟件以其價格低廉、功能齊全、兼容性強、操作簡單、效果顯著等特性吸引瞭大量商傢與用戶,且從商傢最初建站到用戶最終購買已形成瞭清晰的產業鏈。第二章 代刷軟件一、定義與分類代刷軟件是指通過特定手段提高特定賬戶粉絲量、訪問量或掛機時間等量化指標,或者獲取特定權限的軟件。常見的代刷軟件可分為刷量、刷會員與代掛三種:1. 刷量:即刷高特定賬戶量化指標,量化指標可細分為訪問量、點贊量、評論量、轉發量、粉絲量、分享量、播放量等;2. 刷會員:即為特定賬戶刷取特權,將普通用戶提升為特權用戶,以QQ刷鉆最為常見;3. 代掛:即代理掛機,通過獲取用戶的登錄憑證來代替用戶登錄與掛機。二、來源通過對大量Android代刷軟件進行分析後發現,絕大多數代刷軟件都是由Web代刷網站轉化而來。目前市場上有很多Web網站打包工具與平臺,例如AIDE、IAPP、E4A等開發工具以及變色龍、九維雲打包等軟件打包平臺,利用這些工具或平臺可以非常便捷地將特定Web網站轉換成對應的代刷軟件,且轉換出來的代刷軟件具有十分相似的文件清單與代碼架構。代刷軟件開發者隻需要提供代刷接口與不同的軟件名稱,即可快速生成多款代刷軟件。我們對捕獲到的代刷軟件開發工具進行瞭統計與分類,由統計結果可以看到,開發工具開發出的代刷軟件數量遠大於Web打包平臺打包生成的代刷軟件數量,而在開發工具中,由AIDE、IAPP、E4A三類工具開發的代刷軟件占比高達80%以上,其中AIDE最為常用。代刷軟件來源分析簡易開發工具與軟件打包平臺的普及很大程度降低瞭代刷軟件的開發門檻與成本,在低門檻與低成本的誘惑下,不少代刷商傢利用代刷軟件的方式推廣其代刷網站,並在移動端與Web端“雙線”經營,極大提高瞭盈利效率。三、實現原理1. 代刷軟件刷量原理Web代刷網站的內容與源碼十分簡單,基本上隻包含下單功能與訂單處理邏輯。代刷軟件實質與Web代刷網站一樣,都隻是一個為用戶提供下單購買功能的下單平臺,並不包含實際的刷量邏輯。用戶通過代刷軟件提交訂單後,代刷軟件會將訂單請求傳遞至代刷網站,代刷網站隨後在後臺進行統一處理,並將刷量請求傳遞給真正實現代刷功能的供貨商代刷後臺。代刷完整流程2. 實際刷量邏輯供貨商的代刷後臺是實際實現代刷邏輯與完成代刷業務的地方,而針對不同類型的代刷業務,代刷後臺會應用不同的代刷原理:(1) 刷量業務。刷量業務通常是通過僵屍賬號實現的。代刷邏輯開發者通過一定手段獲取到海量僵屍賬號,同時獲取到官網的點贊、加粉絲、轉發等接口,然後在服務器上搭建好一套控制僵屍賬號自動化訪問指定接口的代刷系統就可以進行自動的刷量操作。除瞭利用僵屍賬號,目前還存在另一種刷量方式,即將有刷量需求的用戶通過共同的平臺聚集到一起,這些賬號之間通過人工互刷可以達到真人刷量的目的。真人刷量的代表軟件有“快手網紅聯盟”,這是一款隻支持為特定應用刷量的軟件,使用此軟件的都是真實用戶,這些真實用戶間通過互相瀏覽、點贊或評論等操作來增加彼此的瀏覽量、點贊量或評論量等量化指標。某手網紅聯盟(2) 刷會員。刷會員業務通常是通過不正當利用運營商計費機制實現的。與免流軟件實現原理一樣,刷會員業務也是利用瞭運營商代理系統與計費檢測系統分離的特點,通過特定手段使得這兩個分離的系統對購買結果處理不同步,從而達到廉價刷會員的目的。以刷QQ會員為例,這種“特定手段”通常是低價在淘寶等市場購買廉價SIM卡,然後用手機話費開鉆後在一定的時間差內發送取消指令或者停機來幹擾扣費結果。這種對運營商扣費結果的幹預會導致運營商代理系統上顯示綁定QQ的手機號購買瞭QQ會員等業務,而在運營商的計費檢測系統上卻沒有購買後的扣費成功記錄,以此達到免費訂購QQ會員的效果。然而需要留意的是,這種代刷手段存在一個問題——無法長期維護會員狀態,開通期限最多一個月。與刷量相比,刷會員業務用戶承擔的風險比較大,不僅刷入會員的期限無法保證,而且還面臨被封號的風險。(3) 代掛。代掛的原理較前兩種業務簡單,即通過用戶的登陸憑證登錄用戶賬戶並代替用戶完成軟件掛機。與前兩種業務相比,代掛商傢必須首先獲取到用戶的登錄賬號和密碼,因此用戶難免會面臨賬號密碼泄露的巨大風險。四、示例Android代刷軟件隻是一個下單平臺,邏輯十分簡單。以一款由E4A工具開發的代刷軟件為例,其核心代碼如下圖所示。該代刷軟件會根據用戶在下單交互界面所選擇的業務類型、商品類型、數量等構造請求參數串,並通過特定請求接口將請求參數串發送到代刷網站。代刷軟件核心代碼代刷網站也是一個下單平臺,且交互界面與代刷軟件十分相似。代刷網站在接收到代刷軟件發送過來的業務請求後會將業務請求連同請求參數一同發送給代刷後臺,代刷後臺會根據請求參數完成代刷業務。代刷軟件與對應的代刷網站第三章 代刷產業分析一、角色分工與免流產業一樣,代刷產業也形成瞭由上至下、層層發散的產業鏈,從最上層供貨商到中間的各類主站、分站再到最終消費的用戶,各角色間既各司其職又有功能銜接與交叉,共同維系著整個代刷產業。1. 供貨商。供貨商作為代刷最上遊,負責為下層主站提供代刷邏輯與業務支持。當收到主站發送過來的代刷請求時,供貨商在自己的代刷後臺應用代刷邏輯完成代刷業務並將業務結果反饋給主站;2. 主站。主站是代刷產業的核心,其上遊對接供貨商或卡盟,下遊對接各個分站,提供瞭數據存儲、建分站、訂單查詢、支付等多種功能;3. 普通分站。除瞭不能建立下級分站,普通分站幾乎擁有和主站一樣的功能。普通分站擁有修改網站公告、網站名字、網站logo、商品價格等權限。用戶在分站下單成功後,分站管理員可以得到相應提成;4. 高級分站。高級分站是普通分站的升級版,與普通分站不同的是高級分站支持開通下級分站,用戶在高級分站或其下級分站上下單成功後高級分站管理員都可以拿到提成;5. 用戶。用戶作為代刷最下遊,無論是通過代刷軟件消費還是Web代刷網站消費,最終都以購買代刷服務的形式為整個代刷產業的運作提供瞭資金來源。二、推廣與盈利代刷產業是一種十分依賴於推廣擴散來盈利的產業,一方面,在商傢泛濫的代刷市場,推廣程度會影響商傢知名度,而知名度會直接影響用戶數量;另一方面,主站與高級分站會從下級分站的收益中抽成,由主站與高級分站擴散出的下級分站越多,其收益越高。代刷產業也是一類“一本萬利”的產業,隻要維護好特定網站就可以不斷推廣獲利。1. 推廣模式代刷產業的推廣呈現從主站由上至下層層擴散的架構,這是由代刷產業“上層吃下層回扣”的盈利模式決定的。首先,主站的經營者為瞭盈利,會將自己的代刷網站或者軟件通過QQ群、論壇、貼吧等方式發佈到網上進行推廣,用戶可以在這些網站下免費或者低價建立高級分站,成為高級分站管理員,高級分站管理員為瞭獲取更多利益,也會用網絡發佈的形式去推廣自己的分站,以此吸引用戶購買代刷業務或在自身分站下建立低級分站,低級分站直接對接代刷業務消費用戶,又再次通過網絡發佈對外推廣自己的分站以吸引更多用戶來消費。在這種模式下,代刷網站的下級分站與用戶數目越多,網站的收益就越高。代刷產業推廣模式2. 盈利情況代刷業務以價格低廉的特點吸引瞭大量用戶,而實際上,代刷走的是“薄利多銷”的路線,再加上代刷網站或軟件的開發與維護成本極低,一個流行代刷主站的獲利往往十分可觀。通過長期跟進多個流行主站與分站,我們整理匯總出瞭部分代刷網站的盈利情況。由圖可見,主站的日平均利潤在數十元至上千元不等,差距甚是懸殊。日均收益最高的是一個主機名為“qqdzz.com”的主站,其運營天數不到一年,而累計交易額已達到瞭一百多萬。部分代刷網站收益情況分站內部價格表代刷分站可以自定義銷售價格,但是由於代刷商傢眾多,各商傢之間存在價格牽制,代刷業務的價格並不會有太大波動且十分低廉,因此一直吸引著廣大用戶消費購買。這種雙方“各取所需、互利共贏”的模式使得代刷產業從產生到現在經久不衰。也正是因為如此,勒索軟件的作者將矛頭指向代刷這塊“肥土”,以此來加速勒索軟件傳播與擴大勒索軟件感染范圍。三、用戶群分析通過對TOP代刷QQ群成員分佈分析發現,代刷產業的關註人群普遍偏年輕化,其中00和90後占據瞭半壁江山。雖然主站和高級分站會吃普通分站的提成,最後到普通分站的利潤會大打折扣,但建立代刷分站銷售代刷服務的賺錢渠道和很多傳統賺錢渠道比起來成本低、耗時少且風險較小,因此這種業餘賺錢渠道受到瞭不少初高中生以及大學生的追捧。代刷QQ群人員分佈此外,我們通過在代刷網站購買某知名直播平臺的刷粉絲業務並在粉絲量大幅提升後,對這些“買來的”粉絲及其所粉的人群進行觀測,這些“買來的”粉絲在關註購買者的同時也關註瞭很多其他的用戶,其中不乏一些在直播平臺排名靠前的主播,這說明現在流行直播平臺上的某些大主播也有“買粉”嫌疑。隨著網絡社交與直播平臺的風靡,不少用戶出於攀比心理或擴大自身知名度與影響力的原由,可能會迫切追求高粉絲量、高評論數等量化指標,而代刷業務就“雪中送炭”成為瞭他們的最佳選擇。四、相似的平臺架構通過對幾個流行代刷網站的分析發現,雖然這些代刷網站的網址不同,但網站上的內容以及功能都大同小異。對這些代刷網站進行抓包後的結果顯示,它們的組織結構、網絡請求和返回值字段大體相似,例如註冊分站的URL都包含一個共同的路徑(/user/reg.php),且獲取QQ說說的請求URL也大體相同。註冊分站的URL列表獲取說說的請求URL列表通過進一步分析從網絡上隨機取得的建站源碼中包含的註冊分站和獲取QQ說說的代碼,我們發現此源碼結構及代碼功能和這些代刷網站的源碼與功能極其相似。由此基本可以判定市面上的代刷網站大部分都是使用的同一套建站源碼。通過這套源碼,建站者隻需擁有自己的主機和域名就可以輕松建站,能力要求與成本極低。代刷產業正是憑借著低成本與門檻吸引瞭眾多兼職人員加入其中。建站源碼結構建站源代碼五、加速移動化現今,移動互聯網的發展勢頭正在漸漸超越傳統互聯網,面對移動互聯網這塊“肥肉”,代刷產業的步伐也沒有停歇,代刷主戰場已逐漸從Web平臺轉移到移動代刷軟件。自2015年開始,Android代刷軟件開始批量出現並逐漸增多,且近幾年增長趨勢逐年增強,僅2017年一年新增的代刷軟件就超過瞭15萬個,是2016年總量的3.1倍、2015年總量的35.6倍。Android代刷軟件數量增長趨勢近年來,隨著各種Web轉手機軟件廠傢的增多,生成一個手機軟件的成本幾乎為零。代刷軟件的流行給代刷產業帶來瞭又一次春天,但同時代刷市場魚龍混雜、良莠不齊,一些不法分子打著代刷的旗號傳播盜號、勒索等惡意軟件,給用戶帶來瞭極大的經濟損失。第四章 代刷軟件的危害一、代刷暗藏“殺機”目前代刷軟件中充斥著大量危險的仿冒代刷軟件,它們打著代刷的旗號,在用戶安裝後實施勒索、盜號等惡意行為,給用戶隱私與財產安全帶來瞭嚴重隱患。1. 鎖機勒索在我們捕獲到的代刷軟件中,超過一半是惡意鎖屏勒索軟件。用戶在下載安裝代刷軟件時,極有可能上瞭勒索軟件的鉤,而由於代刷軟件本身並不是一種合規軟件,這些受害用戶在被鎖屏勒索後,很有可能會選擇妥協並主動支付解鎖,這越發助長瞭勒索軟件開發者的囂張氣焰與利用用戶僥幸心理實施犯罪的行徑。仿冒勒索軟件的代刷軟件2. 賬號、密碼被盜,通訊錄被竊盜竊賬號、密碼的行為多出現在由IAPP、AIDE等工具開發的惡意代刷軟件中。這類軟件最明顯的特點就是在軟件啟動後出現賬號、密碼輸入界面,並以代刷誘導用戶輸入賬號與密碼,一旦用戶點擊確認登錄按鈕,所輸入的登錄信息就會以短信或網絡的方式被發送到指定手機或服務器上。這類軟件屬於欺詐盜號木馬且實際上沒有代刷功能,用戶不但不能達到代刷的目的,反而會造成自己的賬號密碼被盜。盜號界面除瞭盜取用戶登錄憑證,惡意代刷軟件還“熱衷於”竊取用戶的短信、聯系人、通話記錄等隱私信息。這類代刷軟件一旦被安裝,會自動獲取用戶短信、聯系人、通話記錄等信息並通過各種方式(短信、郵件、網絡)上傳到遠程服務器,且多數情況下,這些軟件在首次啟動後會自動隱藏桌面圖標,使得用戶日常無法感知且無法正常卸載,以此達到長期潛伏、持續作惡的目的。發送短信的代碼3. 變相詐騙部分代刷軟件由於技術落後、端口被封殺等原因無法實現正常的代刷功能,但是其運營人員仍大量推廣出售此代刷業務,用戶在充值後非但不能實現代刷,充值的金錢也無法退回。這類變相詐騙防不勝防,給用戶財產安全帶來瞭嚴重威脅。二、統一治理2018年1月份,北京網信辦針對網絡上存在的熱搜榜、熱門話題榜等的刷榜行為進行瞭統一治理。在對相關負責人進行瞭約談後,於2月2號發佈瞭《微博客信息服務管理規定》,開始對微博客信息服務進行更嚴格監督與管理。網信辦發佈《微博客信息服務管理規定》刷榜行為制造的虛假信息擾亂瞭社會秩序、損害瞭公共利益、扭曲瞭社會道德風向,有的甚至還會帶來直接的經濟損失。代刷軟件作為實現刷榜的一類工具亟待治理,以此還公眾一個真實、公平的網絡空間。總結代刷本身是一個遊離於制度邊緣的產業,代刷用戶都是抱著僥幸或者虛榮的心理進行嘗試。惡意軟件開發者正是利用瞭用戶的這種心理,大肆傳播仿冒代刷軟件的惡意軟件。隨意下載安裝與使用代刷軟件可能會給用戶帶來不可預知的風險,對此,用戶需要註意:1. 盡量避免使用不合規軟件;2. 盡量在正規應用市場下載應用,不要輕易安裝各種聊天群或論壇的軟件;3. 謹慎授予軟件設備管理器等高風險權限;4. 安裝安全防護軟件,以便及時識別惡意應用,確保設備與財產安全;5. 一旦手機中毒,請及時聯系移動安全廠商,以最大程度地減少損失。本文作者:360烽火實驗室
本文出自快速备案,转载时请注明出处及相应链接。