4月22日，雷鋒網(wǎng)從騰訊安全了解到，騰訊安全反詐騙實(shí)驗(yàn)室追蹤到暴風(fēng)影音、天天看、塔讀文學(xué)等眾多應(yīng)用中集成的某SDK存在下載惡意子包，通過webview配合js腳本在用戶無感知的情況下刷百度廣告的惡意操作。

該惡意SDK通過眾多應(yīng)用開發(fā)者所開發(fā)的正規(guī)應(yīng)用，途經(jīng)各中應(yīng)用分發(fā)渠道觸達(dá)千萬級(jí)用戶；其背后的黑產(chǎn)則通過惡意SDK留下的后門控制千萬用戶，動(dòng)態(tài)下發(fā)刷量代碼，大量刷廣告曝光量和點(diǎn)擊量，賺取大量廣告費(fèi)用，給廣告主造成了巨額廣告費(fèi)損失。

根據(jù)安全人員詳細(xì)分析，此惡意SDK主要存在以下特點(diǎn)：

1、該SDK被1000+千應(yīng)用開發(fā)者使用，通過應(yīng)用開發(fā)者的分發(fā)渠道抵達(dá)用戶。主要涉及的應(yīng)用包括掌通家園、暴風(fēng)影音、天天看、塔讀文學(xué)等，潛在可能影響上千萬用戶；

2、刷量子包通過多次下載并加載，并從服務(wù)器獲取刷量任務(wù)，使用webview加載js腳本實(shí)現(xiàn)在用戶無感知的情況下自動(dòng)化的進(jìn)行刷量任務(wù)。

此類流量黑產(chǎn)給傳統(tǒng)的廣告反作弊帶來了極大挑戰(zhàn)，傳統(tǒng)通過IP、曝光頻率、點(diǎn)擊率等表象數(shù)據(jù)形成的反作弊策略難以識(shí)別這種控制大量真實(shí)設(shè)備做’肉雞’的刷量作弊，使得大量廣告費(fèi)用流入黑產(chǎn)手中，卻無法給廣告主帶來應(yīng)有的廣告效果。

SDK作惡流程和影響范圍

此惡意SDK集成在應(yīng)用中的那部分代碼沒有提供實(shí)際功能，其在被調(diào)用后會(huì)定時(shí)上報(bào)設(shè)備相關(guān)信息，獲取動(dòng)態(tài)子包的下載鏈接，下載子包并加載調(diào)用。然后由子包執(zhí)行相應(yīng)的惡意行為。

惡意SDK作惡流程示意圖：

受惡意SDK影響的主要應(yīng)用列表：

惡意SDK作惡行為詳細(xì)分析

此惡意SDK被眾多的中小應(yīng)用開發(fā)者集成，我們以應(yīng)用塔讀文學(xué)為例，對(duì)其惡意行為進(jìn)行詳細(xì)分析。

惡意SDK代碼結(jié)構(gòu)

此sdk代碼較少，沒有什么實(shí)際的功能。其在被加載調(diào)用后，會(huì)設(shè)置定時(shí)任務(wù)，每隔3600秒(1小時(shí))啟動(dòng)GatherService，上報(bào)設(shè)備相關(guān)信息，獲取動(dòng)態(tài)子包__gather_impl.jar的下載鏈接

GatherService鏈接服務(wù)器，獲取__gather_impl.jar的下載鏈接

請(qǐng)求鏈接：http://gather.andr****.com:5080/gupdate/v1

請(qǐng)求數(shù)據(jù)：包括uid、應(yīng)用包名、設(shè)備id、應(yīng)用版本、手機(jī)廠商、型號(hào)、系統(tǒng)版本、imei、sdk版本等內(nèi)容

返回內(nèi)容：包括子包的版本、下載url、文件md5

動(dòng)態(tài)加載下載的__gather_impl.jar

子包__gather_impl.jar代碼結(jié)構(gòu)，此子包的主要功能有：1、上傳用戶設(shè)備信息，2、下載并動(dòng)態(tài)加載子包stat-impl.jar

1)、鏈接服務(wù)器，上傳用戶設(shè)備信息

服務(wù)器鏈接：http://userdata.andr****.com/userdata/userdata.php (此url在分析時(shí)已失效，無法鏈接)

上報(bào)內(nèi)容：包括位置信息(經(jīng)緯度)，用戶安裝列表(軟件名、包名)，設(shè)備信息(廠商、型號(hào)、fingerprint，是否root)，deviceid、手機(jī)號(hào)、運(yùn)營商、imei、mac等。

2)、再次請(qǐng)求服務(wù)器，獲取stat-impl.jar的下載鏈接

請(qǐng)求鏈接：http://iupd.andr****.com:6880/wupdate/v1

請(qǐng)求數(shù)據(jù)：包括uid、imei、sdk版本、手機(jī)廠商、型號(hào)、系統(tǒng)版本、應(yīng)用包名、設(shè)備id、設(shè)備指令集等內(nèi)容

返回內(nèi)容：包括子包的版本、下載url、文件md5

子包下載完成后，調(diào)用native方法動(dòng)態(tài)加載此子包

stat-impl.jar的代碼結(jié)構(gòu)：

stat-impl.jar子包被加載后，線程com.drudge.rmt.g會(huì)被啟動(dòng)，其作用主要是用來聯(lián)網(wǎng)獲取刷量任務(wù)，并調(diào)度任務(wù)的執(zhí)行。

主要的刷量任務(wù)包括：1、刷百度搜索的關(guān)鍵字，2、使用js腳本實(shí)現(xiàn)自動(dòng)點(diǎn)擊、滑動(dòng)來刷百度廣告和億量廣告的點(diǎn)擊，3、使用webview刷網(wǎng)頁訪問。

1、刷百度關(guān)鍵字搜索

此任務(wù)會(huì)根據(jù)獲取json字符串，進(jìn)行相應(yīng)的操作，包括設(shè)置BAIDUID、更新配置、添加任務(wù)、設(shè)置剪切板和使用關(guān)鍵字刷百度搜索

設(shè)置關(guān)鍵字，使用webview加載對(duì)應(yīng)的url

捕獲到的刷百度關(guān)鍵字的webview加載請(qǐng)求：

鏈接服務(wù)器http://tw.andr****.com:6080/wtask/v1獲取相關(guān)任務(wù),并將任務(wù)內(nèi)容存入[package]/cache/volley目錄下

2、使用js腳本刷百度廣告

使用webview加載http://mobads.baidu.com/ads/index.htm，并在加載完成后執(zhí)行js腳本實(shí)現(xiàn)自動(dòng)滑動(dòng)、點(diǎn)擊、保存等操作來自動(dòng)刷廣告

相關(guān)的js腳本

1)、js函數(shù)定義滑動(dòng)、點(diǎn)擊、保存等操作

Java層解析并實(shí)現(xiàn)js層傳遞過來的操作命令

2)、js函數(shù)判斷并獲取頁面元素

...

3)、js函數(shù)計(jì)算頁面元素相對(duì)位置，并進(jìn)行滑動(dòng)、點(diǎn)擊操作

...

捕獲到的刷百度廣告的webview加載請(qǐng)求：

3、使用webview刷網(wǎng)頁訪問

此任務(wù)向服務(wù)器請(qǐng)求需要訪問的url鏈接，在獲取到相應(yīng)的網(wǎng)頁url后，使用webview加載進(jìn)行訪問。

請(qǐng)求需要訪問的url鏈接

請(qǐng)求鏈接

http://us.yiqimeng.men:8080/geturls?k=beike-xinshiye&c=5

返回內(nèi)容

["http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm%2FQqzCVcw2dvukMqw25Q%3D%3Du0026_t=1511190410

總結(jié)

以上是生活随笔為你收集整理的webview加载百度失败_独家|神秘SDK暗刷百度广告 植入数千款APP的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。