總體態(tài)勢

APP生成框架是指無需復(fù)雜技術(shù)編程即可實(shí)現(xiàn)APP開發(fā)的一種框架。使用APP生成框架開發(fā)APP能極大簡化開發(fā)步驟、縮短開發(fā)周期并在一定程度上節(jié)約開發(fā)成本，因此越來越多有開發(fā)需求的人成為APP生成框架的用戶，其中不乏眾多黑灰產(chǎn)從業(yè)者。

[[265520]]

360烽火實(shí)驗(yàn)室在對(duì)Android黑灰產(chǎn)的持續(xù)監(jiān)測中發(fā)現(xiàn)，越來越多黑灰產(chǎn)開發(fā)者傾向于使用APP生成框架來開發(fā)黑灰產(chǎn)APP。自2016年起，我們在勒索軟件黑產(chǎn)研究中就發(fā)現(xiàn)了大量使用Android易語言(E4A)一鍵生成的勒索APP，而事實(shí)上，E4A只是市場上眾多APP生成框架中的一種，近幾年我們陸續(xù)收集了數(shù)萬種APP生成框架，同時(shí)更是捕獲到了上百萬利用這些APP生成框架開發(fā)的黑灰產(chǎn)APP。

圖1顯示了2014-2018年全年黑灰產(chǎn)APP總量中框架開發(fā)黑灰產(chǎn)APP的占比情況，自2016年開始，框架開發(fā)黑灰產(chǎn)APP數(shù)量與占比開始激增，到2018年，全年黑灰產(chǎn)APP總量中22%均由框架開發(fā)。從框架開發(fā)黑灰產(chǎn)APP占比變化來看，黑灰產(chǎn)APP整體呈現(xiàn)框架化趨勢，APP生成框架在幫助眾多用戶實(shí)現(xiàn)開發(fā)夢的同時(shí)也給黑灰產(chǎn)提供了一種成本低廉的APP生產(chǎn)途徑。 

圖1 2014-2018年框架黑灰產(chǎn)APP在全年APP總量中的占比

APP生成框架介紹

APP生成框架分類

APP生成框架不限于某一特定形式，可以是APP、SDK、打包、開源工具、支持庫等，通過這些形式，開發(fā)者可以零編程或少編程快速生成APP且生成的APP代碼結(jié)構(gòu)高度一致、重復(fù)率極高，我們將這些不同的形式統(tǒng)稱為框架。

不同形式的框架在使用方式與實(shí)現(xiàn)原理上有所不同，目前我們收集到的框架主要可以歸為五大類： 

圖2 五類APP生成框架的典型特征

一鍵打包

一鍵打包的實(shí)質(zhì)就是將對(duì)應(yīng)的網(wǎng)址、接口或腳本套入給定的APP模板生成Web應(yīng)用，根據(jù)使用上的差異可細(xì)分為直接打包與DIY打包，對(duì)比于直接打包，DIY打包能自定義界面與組件樣式，在APP展示設(shè)計(jì)上更加靈活。打包平臺(tái)通常會(huì)根據(jù)APP種類提供豐富的模板供用戶選擇，如電商模板、社區(qū)交友模板等。一鍵打包是典型的零編程APP生成框架，但通常要求開發(fā)者已具備相應(yīng)網(wǎng)站、店鋪或網(wǎng)頁腳本，且在APP樣式上相對(duì)固定。

開源工具&庫

開源工具或庫(以下簡稱“工具庫”)分別以工具APP形式安裝至手機(jī)或作為SDK嵌入APP中，封裝Android原生API，以更易于使用的方式為開發(fā)者提供各種APP開發(fā)功能接口。與一鍵打包相比，工具庫框架在功能性與形式多樣性上都更加強(qiáng)大，且成熟工具庫通常易于找到很多源碼庫提供功能支持，但使用工具庫框架需要開發(fā)者具備一定代碼編寫與閱讀能力，整體使用難度略高于一鍵打包。

插件化框架

插件化框架是通過反射、Hook與動(dòng)態(tài)加載機(jī)制，利用殼APP以插件形式加載真實(shí)APP并運(yùn)行的框架形式。插件化框架開發(fā)同樣需要開發(fā)者具備一定編碼能力，利用插件化框架開發(fā)APP需要實(shí)現(xiàn)兩部分：殼APP與真實(shí)APP，殼APP與真實(shí)APP沒有固定對(duì)應(yīng)關(guān)系，即殼APP可以加載任意真實(shí)APP，真實(shí)APP也可以由任意殼APP包裝，這一特性被廣泛用于APP批量開發(fā)。

外包框架

不同于其他“工具化”框架，外包框架是將開發(fā)需求提交給外包平臺(tái)，由平臺(tái)實(shí)現(xiàn)APP開發(fā)的框架形式。與傳統(tǒng)外包不同，外包框架開發(fā)的APP代碼結(jié)構(gòu)高度一致、功能重復(fù)率極高、呈現(xiàn)典型框架化特點(diǎn)。我們收集的外包框架全部來自國外，且其中絕大多數(shù)僅承接特定種類APP開發(fā)。

APP生成器

除了以上4類框架，我們還發(fā)現(xiàn)了一種特殊框架——APP生成器。APP生成器一般來自各類貼吧、論壇或QQ群，是一鍵打包框架的一種特例，與常規(guī)一鍵打包不同的是APP生成器本身就是一個(gè)APP，在安裝到手機(jī)后一般只能用于一鍵生成特定種類的APP，通常是特定灰黑產(chǎn)APP。

圖3給出了由以上五類框架開發(fā)的APP的數(shù)量分布情況，工具庫在框架化開發(fā)中最為常用，其次為插件化框架與一鍵打包，三者總占比高達(dá)92%;由于開發(fā)周期長與費(fèi)用高，極少有開發(fā)者會(huì)選擇外包框架。 

圖3 由五類框架開發(fā)的APP數(shù)量分布

APP生成框架使用概況

APP生成框架由來已久，早在Android系統(tǒng)發(fā)布后不到兩年，各種Android框架化開發(fā)工具便相繼出現(xiàn)并快速傳播，截至2019年初，框架生成樣本總量已高達(dá)800萬。

360烽火實(shí)驗(yàn)室最早捕獲的框架APP出現(xiàn)于2011年，2011年框架APP總量僅1000+，在全年APP總量中占比僅0.5%。自2011年之后，框架APP數(shù)量逐年遞增，特別是從2016年開始，每年全年APP總量中框架APP占比急速增大，根據(jù)數(shù)據(jù)統(tǒng)計(jì)結(jié)果，2018年框架APP占比已高達(dá)7.3%，如圖4。 

圖4 2011-2018年框架APP數(shù)量及在全年APP總量中的占比

截至2019年3月，我們共收集了2萬+種APP生成框架，包括40種一鍵打包框架、11種工具庫框架、7種插件化框架、12種外包框架以及2萬余種APP生成器，由這些框架開發(fā)的APP數(shù)量存在巨大差異。我們統(tǒng)計(jì)了目前使用頻率較高的十種APP生成框架及其生成的APP總量，如圖5，目前工具庫框架E4A是被使用最多的APP生成框架，其次是插件化框架DKModel與DroidPlugin，三者數(shù)量均超過80萬。 

圖5 APP總量TOP 10框架及其APP數(shù)量

框架APP類型分布

我們對(duì)兩萬余種框架生成的APP進(jìn)行了分類，如圖6，工具類在框架APP中占比高達(dá)69%，網(wǎng)商、游戲與門戶網(wǎng)是僅次于工具類的APP類別。在工具類中，約71%為黑客工具與即時(shí)通訊APP，影音播放器、金融APP(投資理財(cái)、借貸)等也占據(jù)相當(dāng)數(shù)量。 

圖6 框架開發(fā)APP類型分布

從全量角度看，占比最高的APP類別為黑客工具、即時(shí)通訊與網(wǎng)商，三者在全量框架APP中的占比分別為38%、16%與15%。黑客工具主要包括代刷代掛、免流、游戲外掛、釣魚、勒索等主流黑灰產(chǎn)工具;即時(shí)通訊則主要為微信與QQ多開;網(wǎng)商包括各類電商APP，其中以非知名電商APP為主。

框架平臺(tái)運(yùn)營模式與安全隱患

運(yùn)營模式轉(zhuǎn)型

在我們收集到的框架中，部分一鍵打包與工具庫框架由相應(yīng)官方平臺(tái)提供打包服務(wù)，框架平臺(tái)多數(shù)會(huì)同時(shí)提供免費(fèi)與付費(fèi)服務(wù)，付費(fèi)服務(wù)比免費(fèi)服務(wù)支持更多功能，付費(fèi)越多，能實(shí)現(xiàn)的功能越強(qiáng)大。如圖7，一款名為“快打包”的網(wǎng)站提供的三級(jí)打包服務(wù)，不同等級(jí)的功能差異體現(xiàn)在動(dòng)態(tài)效果、支持插件甚至用戶隱私權(quán)限等多個(gè)方面，盡管如此，低級(jí)甚至免費(fèi)服務(wù)所提供的功能足以用于生成基礎(chǔ)APP，對(duì)于追求低成本或?qū)PP質(zhì)量要求低的開發(fā)者而言，使用低價(jià)或免費(fèi)版來進(jìn)行APP開發(fā)已足夠。 

圖7 快打包三級(jí)打包服務(wù)

在這種模式下，單一售賣APP打包服務(wù)的經(jīng)營模式盈利有限，再加上市場競爭壓力大，傳統(tǒng)框架平臺(tái)難以帶來理想收入。從2018開始，陸續(xù)有APP框架平臺(tái)停止服務(wù)，而部分平臺(tái)逐漸開始經(jīng)營模式轉(zhuǎn)型，除了售賣APP打包服務(wù)外，開始融合多種傳統(tǒng)增值服務(wù)，如軟件著作權(quán)代辦、應(yīng)用包上架等，同時(shí)開放代理通道，將框架作為產(chǎn)品銷售，因此出現(xiàn)了明明是一套代碼，但框架名稱與官方平臺(tái)地址卻不一樣的情況;此外，部分框架平臺(tái)引入了廣告聯(lián)盟，幫助開發(fā)者利用廣告變現(xiàn)，以此吸引更多開發(fā)者。

安全隱患

框架平臺(tái)在提供APP生成服務(wù)的同時(shí)帶來了多種安全隱患，首先，框架平臺(tái)缺乏APP圖標(biāo)、名稱等審核機(jī)制，存在盜用已有APP名稱或圖標(biāo)的問題，從而造成對(duì)正版APP的侵權(quán);其次，多數(shù)框架在生成APP時(shí)，即使該APP沒有進(jìn)行用戶隱私獲取、收發(fā)短信等操作，框架會(huì)將這些風(fēng)險(xiǎn)接口直接暴露在所生的APP中，一旦接口被惡意程序利用可能會(huì)帶來用戶隱私信息泄露等風(fēng)險(xiǎn);此外，框架平臺(tái)經(jīng)營模式的轉(zhuǎn)型又帶來了新的隱患，一方面框架平臺(tái)在售賣軟件著作權(quán)代辦與應(yīng)用包上架服務(wù)時(shí)，沒有明確必要的APP安全規(guī)范，任何APP只要通過應(yīng)用市場的安全檢測都可以成功辦證或上架，而部分框架APP本身就有繞過安全檢測的特性，因此存在惡意APP拿到軟件著作權(quán)或成功上架的風(fēng)險(xiǎn)，圖8為一款名為“變色龍”的打包平臺(tái)提供的軟件著作權(quán)代辦服務(wù);另一方面，如果框架或框架APP出現(xiàn)安全問題，框架代碼轉(zhuǎn)賣也會(huì)給責(zé)任歸屬判斷帶來一定干擾。 

圖8 變色龍平臺(tái)軟件著作權(quán)代辦服務(wù)

APP生成框架生態(tài)惡化

APP生成框架的初衷是幫助缺乏一定開發(fā)能力或成本的用戶完成APP開發(fā)，但隨著APP生成技術(shù)的普及與黑灰產(chǎn)開發(fā)、推廣需求量的增大，APP生成框架逐漸被黑灰產(chǎn)廣泛用于黑灰產(chǎn)APP生產(chǎn)。目前APP生成框架生態(tài)問題重重：其一，部分框架被黑灰產(chǎn)開發(fā)者濫用，由這些框架開發(fā)的劣質(zhì)、黑灰產(chǎn)APP數(shù)量遠(yuǎn)多于優(yōu)質(zhì)、安全APP;其二，部分框架本身就“動(dòng)機(jī)不純”，專為批量生產(chǎn)黑灰產(chǎn)APP而生，這些框架包括數(shù)萬計(jì)黑灰產(chǎn)APP生成器;此外，還出現(xiàn)了APP框架風(fēng)險(xiǎn)代碼注入的現(xiàn)象，由此生成的APP安全性令人擔(dān)憂。

正規(guī)框架被濫用

我們對(duì)除APP生成器外的四種框架的黑灰比進(jìn)行了統(tǒng)計(jì)，如圖9，四種框架下APP黑灰分布呈現(xiàn)兩極化特點(diǎn)：插件化與工具庫框架APP中黑灰產(chǎn)APP占比遠(yuǎn)高于一鍵打包與外包框架，黑灰比最高的插件化框架黑灰比高達(dá)77.0%，而外包框架黑灰比僅0.5%。在四種APP生成框架中，正規(guī)插件化框架與工具庫框架被濫用的現(xiàn)象最明顯。 

圖9 四類框架下APP黑灰比

相對(duì)于插件化與工具庫框架，一鍵打包框架主要針對(duì)HTML5與WebAPP，APP生產(chǎn)前通常需要具備現(xiàn)成的網(wǎng)站或腳本等先決條件，而外包框架又成本過高，黑灰產(chǎn)開發(fā)者顯然更傾向于選擇功能更多樣化、成本更低且能更快捷進(jìn)行批量產(chǎn)出的框架。

在插件化框架“殼-真實(shí)APP”的模式下，黑灰產(chǎn)開發(fā)者不僅能給任意APP加任意自定義的殼快速形成新的APP，且安全殼應(yīng)用能夠隱藏動(dòng)態(tài)加載的真實(shí)APP的惡意靜態(tài)特征，增加黑灰產(chǎn)APP繞過安全廠商或應(yīng)用市場安全檢測的可能性;而對(duì)于工具庫框架，除了擁有類似Andorid原生開發(fā)的強(qiáng)大功能，以IAPP、E4A、按鍵精靈等為首的部分工具庫框架能以APP的形式安裝到手機(jī)，開發(fā)者無需環(huán)境搭建，以“堆積木”的極簡方式就能完成APP開發(fā)，對(duì)于成熟工具庫框架，從相關(guān)技術(shù)社群能找到十分全面的功能源碼庫，包括相當(dāng)多外掛破解、視頻與隱私竊取等源碼。

工具庫框架與插件化框架在黑灰產(chǎn)批量打包上的優(yōu)勢使其成為框架濫用重災(zāi)區(qū)，在這兩類框架中又分別以IAPP、VirtualAPP最為典型。截止到2019年3月，由IAPP與VirtualAPP開發(fā)的APP中黑灰比分別高達(dá)90%與81%，使用這兩個(gè)框架開發(fā)的黑灰產(chǎn)APP數(shù)量已遠(yuǎn)遠(yuǎn)超過安全APP數(shù)量，其中IAPP框架下主要以代刷、外掛等黑客工具為主，VirtualAPP框架下則以盜版多開APP為主。

對(duì)于IAPP框架，黑灰產(chǎn)源碼資源極其“豐富”，以某IAPP技術(shù)社區(qū)為例，該網(wǎng)站提供了大量IAPP功能源碼，其中絕大多數(shù)都是黑客工具源碼。 

圖10 某IAPP技術(shù)社區(qū)源碼區(qū)

黑灰產(chǎn)APP生成器

與正規(guī)框架被濫用不同，黑灰產(chǎn)APP生成器本身就是為生產(chǎn)黑灰產(chǎn)APP而生。截止到2019年3月，我們共捕獲了2萬+個(gè)黑灰產(chǎn)APP生成器，這些APP生成器沒有官網(wǎng)，一般通過QQ群、論壇或貼吧進(jìn)行傳播。特定APP生成器僅適用于生成特定種類黑灰產(chǎn)APP，在我們捕獲到的APP生成器中以鎖機(jī)和釣魚APP生成器為主，如圖11。

圖11 黑灰產(chǎn)APP生成器類別分布

以一款名為“釣魚生成器”的APP生成器為例，如圖12，該生成器可以生成針對(duì)支付寶賬號(hào)與QQ賬號(hào)的4種不同形式的釣魚APP，且可指定短信接收賬戶信息的手機(jī)，盜號(hào)軟件以仿支付寶、QQ登錄頁面誘導(dǎo)用戶輸入支付寶、QQ賬號(hào)密碼，點(diǎn)擊確認(rèn)后，用戶輸入的賬號(hào)與密碼將短信發(fā)送至預(yù)留手機(jī)號(hào)。

圖12 一款釣魚APP生成器

除手機(jī)號(hào)外，部分黑灰產(chǎn)APP生成器支持自定義APP名稱、圖標(biāo)、啟動(dòng)界面等，配合自動(dòng)點(diǎn)擊腳本能迅速生產(chǎn)出多個(gè)具有不同名稱或圖標(biāo)等基礎(chǔ)表現(xiàn)的黑灰產(chǎn)APP，批量產(chǎn)出大基數(shù)黑灰產(chǎn)APP能讓黑灰產(chǎn)以極低成本增加市場占有、擴(kuò)大傳播推廣，從而吸引更多用戶中招。

風(fēng)險(xiǎn)代碼注入

APP生成框架對(duì)開發(fā)者而言相當(dāng)于“黑盒”，若框架包含風(fēng)險(xiǎn)代碼注入行為，由該框架開發(fā)的所有APP都會(huì)存在對(duì)應(yīng)風(fēng)險(xiǎn)行為，最終受害者都是用戶。我們在對(duì)APP生成框架進(jìn)行深入研究時(shí)發(fā)現(xiàn)，存在打包平臺(tái)與部分APP生成器利用APP模板向生成的APP注入風(fēng)險(xiǎn)代碼的現(xiàn)象?？蚣茱L(fēng)險(xiǎn)代碼注入會(huì)導(dǎo)致風(fēng)險(xiǎn)APP數(shù)量與感染用戶迅速增加，給用戶與設(shè)備安全帶來嚴(yán)重影響。

打包平臺(tái)注入用戶行為收集代碼

為幫助開發(fā)者及時(shí)了解APP的推廣狀態(tài)，APP打包平臺(tái)通常會(huì)在開發(fā)者個(gè)人中心提供用戶統(tǒng)計(jì)數(shù)據(jù)。我們在對(duì)APP生成框架的持續(xù)監(jiān)測過程中發(fā)現(xiàn)了一款名為“應(yīng)用精靈”的APP打包平臺(tái)存在定期收集額外用戶數(shù)據(jù)的行為。

圖13 “應(yīng)用精靈”開發(fā)者可見數(shù)據(jù)統(tǒng)計(jì)頁面

“應(yīng)用精靈”打包平臺(tái)的主要功能是將網(wǎng)站一鍵打包成APP，從該平臺(tái)提供的開發(fā)者可見的數(shù)據(jù)統(tǒng)計(jì)頁面只能看到APP名稱與用戶量統(tǒng)計(jì)數(shù)據(jù)，如圖13，而實(shí)際上，除了用戶設(shè)備標(biāo)識(shí)外，該平臺(tái)還在打包APP所使用的模板中加入了用戶APP使用行為收集代碼，由該平臺(tái)打包的所有APP都會(huì)定期上傳用戶對(duì)該APP的使用時(shí)間、時(shí)長以及行為數(shù)據(jù)。

圖14 “應(yīng)用精靈”后臺(tái)統(tǒng)計(jì)APP使用情況

截止到2019年4月，我們共捕獲約兩萬由該平臺(tái)生成的APP，這些APP覆蓋多種應(yīng)用分類，累計(jì)傳播量高達(dá)百萬。在這種情況下，該平臺(tái)能持續(xù)監(jiān)測到所有安裝了這些APP的用戶的行為數(shù)據(jù)。

APP生成器注入廣告

除打包平臺(tái)外，我們在部分APP生成器中也發(fā)現(xiàn)了通過模板進(jìn)行風(fēng)險(xiǎn)廣告嵌入的行為。以一個(gè)來自QQ群“APP生成器群”的APP生成器為例，這個(gè)生成器提供了5種APP模板，每種模板都被嵌入了風(fēng)險(xiǎn)廣告代碼。

圖15 APP生成器支持的模板

由該生成器生成的所有APP開啟后主屏內(nèi)都包含無法消除的橫幅廣告，如圖16，用戶無意碰到主屏下部區(qū)域后APP會(huì)自動(dòng)下載所列舉的全部APP。

圖16生成的APP帶無法消除的廣告

APP生成框架下的黑灰產(chǎn)APP

框架黑灰產(chǎn)APP類別概況

截止2019年3月，在我們捕獲到的800萬框架APP中，已知黑灰產(chǎn)APP累計(jì)三百萬+，框架黑灰產(chǎn)APP占框架APP總量40%。通過對(duì)2018年框架黑灰產(chǎn)深入跟進(jìn)后發(fā)現(xiàn)，框架開發(fā)的黑灰產(chǎn)APP高度集中在盜版多開、黑客工具與色情視頻三類，這三類APP數(shù)量和在2018年全年框架黑灰產(chǎn)APP總量中占比高達(dá)91%，如圖17;剩余9%包括博彩、違規(guī)借貸、網(wǎng)購欺詐、風(fēng)險(xiǎn)游戲等。

圖17 2018年框架黑灰產(chǎn)APP類別分布

框架黑灰產(chǎn)APP重災(zāi)區(qū)

框架黑灰產(chǎn)APP以盜版多開與黑客工具為典型，這兩類占比分別高達(dá)47%與34%，其中盜版多開主要針對(duì)微信;黑客工具則以刷量和外掛APP為主。

盜版多開

盜版多開是隨插件化框架興起而泛濫的一類風(fēng)險(xiǎn)APP，盜版多開可能會(huì)偽造與官方登錄界面完全一致的釣魚界面，誘導(dǎo)用戶輸入賬戶信息，造成用戶隱私信息泄露。我們捕獲到的框架盜版多開以微信多開為主，在全量框架盜版多開中，微信多開占比高達(dá)55%，此外，游戲、交友、電商與QQ多開也占據(jù)了相當(dāng)比例。

圖18 盜版多開APP類別分布

框架黑客工具

刷量APP是框架黑客工具中的主要類型之一，其通常伴隨熱門流量的出現(xiàn)而產(chǎn)生，如用戶基數(shù)龐大的QQ、熱門手游王者榮耀等，刷量APP主打功能是替用戶刷各種指標(biāo)量，如QQ會(huì)員、空間訪問量、游戲點(diǎn)券等，隨著近幾年熱門流量的變化，框架刷量APP種類也在不斷變化。

我們分析了2016至2018三年間框架刷量APP的變化情況：2016年框架刷量APP中約90%都與QQ業(yè)務(wù)有關(guān)，其中以QQ刷鉆、QQ刷贊為主;2017年單一QQ業(yè)務(wù)框架刷量APP占比下降至60%，同時(shí)短視頻/直播框架刷量APP開始批量出現(xiàn)，其中主要以刷播放量和粉絲量為主，此外，框架刷量APP逐漸向平臺(tái)化、綜合化轉(zhuǎn)型，支持多種刷量業(yè)務(wù)的綜合型框架刷量APP開始大量出現(xiàn)，在全年框架刷量APP中占25%;到2018年，單一QQ業(yè)務(wù)框架刷量APP進(jìn)一步綜合化轉(zhuǎn)型，綜合型框架刷量APP占比已高達(dá)70%，短視頻/直播框架刷量APP數(shù)量有所上升。

圖19給出了2016-2018年框架刷量APP的主要類別分布，從近三年的總體趨勢來看，針對(duì)單一業(yè)務(wù)的框架刷量APP正逐漸向支持多業(yè)務(wù)的綜合型框架刷量平臺(tái)轉(zhuǎn)變。

圖19 2016-2018年框架刷量APP主要類別分布

綜合型框架刷量平臺(tái)整合了所有主流類別刷量功能，包括QQ業(yè)務(wù)、短視頻/直播、游戲刷量等。圖20是一款名為“飛達(dá)科技代刷網(wǎng)”的綜合型框架刷量APP，其按刷量目標(biāo)分成了不同專區(qū)，各種刷量業(yè)務(wù)“應(yīng)有盡有”。

圖20 一款綜合型框架刷量APP

在刷量APP綜合化轉(zhuǎn)型的背景下，APP生成框架為刷量APP開發(fā)者提供了更便捷的業(yè)務(wù)擴(kuò)展方式——“一鍵”批量化。在我們收集到的綜合型框架刷量APP中，絕大多數(shù)都呈現(xiàn)出框架批量生成的特點(diǎn)，這些工具可能有不同名稱、包名或圖標(biāo)，但卻擁有相互關(guān)聯(lián)的服務(wù)器地址或開發(fā)者。表1是一批由E4A批量生成的綜合型刷量APP，總量共計(jì)5萬+。刷量APP開發(fā)者“機(jī)智”利用APP生成框架的便捷、零成本特性，以 “一變多”來達(dá)到批量推廣、擴(kuò)大市場占有、靈活轉(zhuǎn)移業(yè)務(wù)的目的。

表1 E4A批量生成的同款刷量APP

除刷量APP外，框架黑客工具中的另一主要類別是外掛APP，與框架刷量APP一樣，框架外掛APP近三年的類別分布也發(fā)生了一些變化，如圖21，游戲外掛與QQ業(yè)務(wù)外掛始終是框架外掛APP中的兩大主要類別，且占比逐年緩慢遞增;流量外掛是近三年數(shù)量波動(dòng)最大的一種框架外掛，從2016年至2018年，流量外掛占比從30%降至4%，已逐漸退出主流外掛行列;此外，短視頻/直播外掛與短信、電話轟炸機(jī)占比有所增加。

圖21 2016-2018年框架外掛APP主要類別分布

在框架黑客工具中，無論是框架刷量還是框架外掛，都存在嚴(yán)重“名不副實(shí)”的現(xiàn)象，大量APP打著刷量或外掛旗號(hào)誘導(dǎo)用戶下載安裝后實(shí)施鎖屏勒索、隱私竊取、私自扣費(fèi)等惡意行為。惡意APP開發(fā)者擅于利用低成本APP生成框架并結(jié)合熱點(diǎn)黑客工具來擴(kuò)大惡意APP的傳播與感染，以此牟取更大利益。

表2截取自我們近期捕獲到的一批框架黑客工具APP，這批APP由IAPP框架批量生成，軟件名圍繞刷量與博彩外掛展開，然而實(shí)際運(yùn)行后這些APP不具備相應(yīng)功能，且會(huì)彈出QQ登錄頁面誘導(dǎo)用戶輸入QQ賬號(hào)與密碼，并通過短信上傳至指定手機(jī)號(hào)，造成用戶隱私信息泄露。

表2 仿冒黑客工具的釣魚APP

總結(jié)

APP生成框架帶來了一種便捷的APP開發(fā)方式，各類打包平臺(tái)、工具等也確實(shí)幫助很多開發(fā)者以低時(shí)間、資金與人力成本實(shí)現(xiàn)了APP開發(fā)，但黑灰產(chǎn)利用APP生成框架大肆批量化其工具的現(xiàn)象卻越來越嚴(yán)重，給用戶及其設(shè)備安全帶來了嚴(yán)重隱患。

APP生成框架生態(tài)良性發(fā)展依賴于APP框架平臺(tái)、應(yīng)用市場與安全廠商等多方面的支持。

對(duì)于APP框架平臺(tái)，明確APP安全規(guī)范、加強(qiáng)平臺(tái)生成APP安全審核、從源頭阻止風(fēng)險(xiǎn)APP進(jìn)入市場勢在必行，對(duì)于業(yè)務(wù)模式轉(zhuǎn)型引入的增殖服務(wù)，如軟件著作權(quán)代辦、應(yīng)用包上架等，更應(yīng)嚴(yán)格執(zhí)行APP安全性評(píng)估，杜絕風(fēng)險(xiǎn)APP取得相關(guān)權(quán)證或上架，而不應(yīng)在不明確安全規(guī)范的情況下高價(jià)就能包辦。

對(duì)于應(yīng)用市場和安全廠商，應(yīng)結(jié)合框架APP的特點(diǎn)采用專門針對(duì)框架APP的應(yīng)用審核策略，以部分框架APP缺少靜態(tài)行為特征為出發(fā)點(diǎn)，加強(qiáng)動(dòng)靜結(jié)合的APP檢測機(jī)制。360烽火實(shí)驗(yàn)室基于動(dòng)靜結(jié)合、變化規(guī)律以及特征關(guān)聯(lián)構(gòu)建了針對(duì)框架APP的檢測系統(tǒng)，最大可能保障用戶及其設(shè)備安全。

360烽火實(shí)驗(yàn)室

360烽火實(shí)驗(yàn)室，致力于Android病毒分析、移動(dòng)黑產(chǎn)研究、移動(dòng)威脅預(yù)警以及Android漏洞挖掘等移動(dòng)安全領(lǐng)域及Android安全生態(tài)的深度研究。作為全球頂級(jí)移動(dòng)安全生態(tài)研究實(shí)驗(yàn)室，360烽火實(shí)驗(yàn)室在全球范圍內(nèi)首發(fā)了多篇具備國際影響力的Android木馬分析報(bào)告和Android木馬黑色產(chǎn)業(yè)鏈研究報(bào)告。實(shí)驗(yàn)室在為360手機(jī)衛(wèi)士、360手機(jī)急救箱、360手機(jī)助手等提供核心安全數(shù)據(jù)和頑固木馬清除解決方案的同時(shí)，也為上百家國內(nèi)外廠商、應(yīng)用商店等合作伙伴提供了移動(dòng)應(yīng)用安全檢測服務(wù)，全方位守護(hù)移動(dòng)安全。

本文經(jīng)安全客授權(quán)發(fā)布，轉(zhuǎn)載請(qǐng)聯(lián)系安全客平臺(tái)。