日报标题:悄悄地,不知道什么时候,手机里就多了好多 app…… 以史为贱,铁肩担正义,慧眼辨真伪 静默安装是流量作弊的手段之一,只是不太常用。静默安装的这种作弊手段有两大特点:一是“事如春梦了无痕”,就是一旦中招,识别起来非常困难,几乎不太好识别,因为这种作弊留下的痕迹非常少,作为证据太牵强;第二个特点是作弊成本比较高,需要很多条件的机缘巧合。所以,人们对于静默安装的这种作弊手法的了解,有点像对大数据的了解一样: BackDoor is like teenage sex: everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it. 还原成古汉语:静默安装之谓也,若未弱冠而行周公之礼。人人语之,无人晓之。假人人为之,以己为之矣。 静默安装的定义: 智能手机用户在不知情的情况下,手机在后台自动完成某(几)款 APP 的下载、安装、激活、注册、删除等操作。 静默安装的技术原理: 静默安装作弊的实现的前提是有木马植入,而实现木马植入的方式有三种,分别是: 一、利用系统漏洞提权: 黑客利用系统漏洞,在运行中的系统程序上注入一段替换后的代码,让自己的应用提权;这样,宿主 APP,就拥有了 Root 权限;此时的宿主 APP 可以为所欲为,接下来可以做几件事情来显示一下他的实力: 1. 安装一个程序: a) 访问一个下载 URL; b) 下载指定 apk; c) 后台安装 apk; d) 打开应用,进行某些指定的操作; e) 然后删除这个应用; 2. 添加一条通信录: a) 添加一个号码,并命名,比如妈妈; b) 然后通过这个号码发一条短信,我在医院急需钱用,账号用朋友的 xxxx; 是的,很骇人! 二、利用安卓签名漏洞提权 黑客利用安卓系统一个关于签名的漏洞,使用一个非法应用替换掉桌面上的某个应用,并赋予 Root 的权限。一旦获得最高权限之后,同样可以展示几个骇人的操作,自动发送短信,下载 APK 等等,参照上节内容。 三、自设漏洞 某些公司在用户的手机上安装了杀不死的服务,这些服务端口,可以接受来自服务端的命令,如,访问一个 URL,下载一个 APK,安装一个 APK,打开一个应用等。 通常,这些服务是公司内部业务使用。但这个漏洞是致命的。因为,很容易被别人发现并利用。详见第四。 四、利用某些软件的漏洞 黑客利用一些软件的漏洞,通常是不道德的一些漏洞,甚至是故意设置的漏洞,比如:某些公司在用户的手机上安装不死服务 Immortal Server,端口是 40XX0/6XX9; 通过这个端口来接受命令,比如: 1. 安装一个程序: a) 访问一个下载 URL; b) 下载指定 apk; c) 后台安装 apk; d) 打开应用,进行某些指定的操作; e) 然后删除这个应用; 2. 添加一条通信录: a) 添加一个号码,并命名,比如妈妈; b) 然后通过这个号码发一条短信,我在医院急需钱用,账号用朋友的 xxxx; 静默安装的作弊成本构成: 静默安装的作弊成本是不太容易的估算的,这是一个黑色产业链的秘密,甚至是 CP 内部与黑色产业勾结的产物,因此成本不易估算。但这类作弊方式,是不需要硬件投入,只有软性的成本,比如“研发成本”等。 用途 因为静默安装的数量比较容易控制,一般主要用于补量,因为掺量用途:静默安装可以掺量进入到自然流量中做补量,也可以当做自然流量。 仿真度 关于仿真度,这样的用户本来就是真实用户的设备,只不过不是真实用户的操作,因此仿真度极高。而且即便留下了蛛丝马迹的线索,这些线索掺在流量之中,这些证据都不给力,不能成为有力的证据。仿真可以完成: 1. 激活仿真度:可以完成激活 2. 关键参数的仿真度: a) 留存率: 能控制,如果需要的话; b) 在线时长:能控制,如果需要的话; 3. 硬件设备参数: a) Imei 号:完美解决; b) MAC 地址:完美解决; c) Imsi:完美解决造; d) 其他硬件参数:完美解决 识别与防治办法 静默安装拟制造出来的用户本来就是真实用户,而非真实操作,因此留下的证据不充分: 1) 留存率和启动频率可能正常,但在线时长异常; 2) 手机系统 root 权限异常; 但这些证据都是不充分的。 量江湖,因为长期的数据积累与数据合作,与一些合作伙伴共同建立起一套防治木马植入和静默安装的办法,核心原理是: 1) 收录了大量木马植入的特征码; 2) 与运营商合作,对一些异常行为的数据进行后台跟踪; 这种办法不是在终端侧,而是在服务端侧,因此,就跳出了原有的束缚。 阅读原文
