第三方SDK暗刷流量的取證分析與應用

李佳斌 裴洪卿 鄭雄 孫艷賓 汪藍

1. 浙江省杭州市公安局西湖區分局 2. 杭州平航科技有限公司

引言

隨著移動互聯網的發展，出現了一條暗刷流量的網絡灰色產業鏈，暗刷流量指手機未經使用者的主動使用操作，而會在系統后臺暗自訪問網站或進行數據傳輸，下載或者打開某個APP，從而達到提高目標網站訪問流量、增加活躍度等目的。這些行為可能是由于手機安裝了某些APP應用程序，由其暗自運行的行為，也有可能是一些系統刷機包內置后門程序觸發產生的行為。而各類APP及網站等都需要大量的流量實現盈利，例如注冊量、點擊量等，更為常見的還有電商刷單炒信行為，高流量意味著高點擊率以及高關注率，有了高流量，應用排行榜排名就會靠前，就會有更多的人群予以關注，從而擴大市場影響，帶來商業上的豐厚回報。由于供需關系的影響，網絡流量暗刷就形成了一條完整的產業鏈。網絡暗刷的實現方式包括通過代碼程序模擬用戶訪問行為的“機刷”和借助在其他APP、廣告中植入JS暗刷點擊代碼，通過基于SDK增加其自身產品的訪問量并不被手機使用者知曉的“JS暗刷”。本文針對常見的SDK中植入JS暗刷行為代碼進行分析研究。

一、SDK簡介

SDK是Software Development Kit的縮寫，即“軟件開發工具包”，SDK一般是封裝某些特定功能（常見的比如：賬號管理、支付、推送、統計等等）的程序組件，第三方SDK主要指軟件開發人員所使用的第三方服務商所提供的可實現軟件某些特定功能或接口的軟件包、軟件框架、硬件平臺、操作系統等開發工具的集合（工具包）。如Google提供Android系統專屬的開發工具，即Android SDK。由于Android系統擁有龐大的用戶群體，而且每天都有大量的Android應用程序被發布到各大應用市場，例如應用寶、豌豆莢等。為了縮短開發時間和提高開發效率，Android應用開發人員一般只會開發核心功能而很少自主開發應用程序中所有的功能，非核心功能就可以通過使用第三方服務提供商提供的SDK來實現，例如廣告推送、數據統計、社交網絡、地圖和信息推送平臺。

第三方服務提供商在其SDK中封裝了復雜的代碼邏輯以及請求響應的過程，但同時提供調用該SDK的使用說明文檔，因此應用開發人員并不需要了解SDK內部的邏輯原理，即可以根據文檔集成SDK的功能。因此第三方SDK逐漸成為Android生態系統的重要組成部分，但基于這種快速開發模式，使第三方SDK在信息安全方面埋下了隱患。

（一）SDK的調用流程

第三方SDK通常都會根據自身的服務內容向開發人員提供調用說明和演示信息。以消息推送類的業務為例，如圖1所示。根據SDK的調用流程，可以發現其嵌入APP后，會與業務服務器進行數據交互，進而實現消息推送功能。因此我們可以通過對SDK的逆向分析發現其連接的服務器以及針對通訊行為進行分析，可以還原其實現流程進而從中尋找與此類行為有關的內在特點。

（二）Andriod SDK文件的分析方法

Andriod SDK文件主要為jar格式，是一種常見的軟件包文件格式，通常用于聚合大量的Java類文件、相關的元數據和資源（文本、圖片等）文件，并將這些整合到一個文件中，以便開發Java平臺應用軟件或庫。

一個Android應用程序的代碼要在Android設備上運行，必須先進行編譯，然后被打包成為一個被Android系統所能識別的文件才可以被運行，而這種能被Android系統識別并運行的文件格式便是APK文件，APK文件作為Android操作系統最廣泛使用的一種應用程序包文件格式，用于分發和安裝移動應用及中間件。一個APK文件內包含被編譯的代碼文件（.dex文件）、文件資源（Resources）、原生資源文件（Assets）、簽名證書（Certificates）和清單文件（Manifest文件）。APK文件可以通過使用逆向工具Jadxgui打開并對其文件結構和內容進行查看分析。

由于SDK的jar文件需要嵌入APK文件中，因此通常都提供嵌入使用的說明文檔或者開發手冊，文檔手冊中也會包含SDK所需系統或應用權限等內容，這些權限的說明也有利于后續分析APK的權限范圍和細節，如圖2所示。

以廣告類SDK為例，在實際使用場景中，廣告推送服務并不需要很多或者很高級別的權限要求，只要能夠連接網絡、寫入數據即可，即便如此也可以實現在手機用戶不知情的情況下，通過后臺模擬人工點擊廣告鏈接進行牟利。在這種情況下則需要對該APP的網絡通訊行為以及相關數據進行甄別分析。

如果是一些惡意收集手機信息的SDK或應用，則會申請訪問通訊錄、短信、硬件等信息的權限。如果是木馬類程序，則會申請更多的敏感權限，如申請讀取、寫入、發送、刪除短信權限，再結合程序邏輯，可用以攔截短信驗證碼，或者發送申請驗證碼的短信。因此分析應用的權限對于安卓應用的取證分析非常重要。

本文介紹了環境工程本科生在水處理綜合實驗中探究式實驗的開展和評價。通過評價問卷的統計分析,對傳統實驗與探究式實驗在提高學習效果方面進行了比較,對探究式實驗的有效性做出評價。

通過對比分析某短信攔截木馬應用所申請的權限發現，實現特定功能時，必須要向安卓系統申請相應權限，但是廣告類SDK僅需要訪問網絡等基礎權限即可，需要授予的權限較少且較為基礎，此其利用此類SKD實施的違法行為更加難以被發現。另一方面SDK都是提前預置在APP中，如果該APP已經申請了很多權限，那該SDK也可以調用相同的權限，因此SDK的行為不需要通過告知APP即可實現。我們可以通過分析APP權限范圍的方法對其中的SDK進行分析。

（三）第三方SDK常見的惡意行為類型

第三方SDK的惡意行為除上述廣告刷流量類型外，還包括以下幾類：

流量劫持：第三方SDK通過惡意劫持APP流量，根據特定目標劫持訪問的地址；

資費消耗：第三方SDK消耗用戶的網絡資費，甚至是訂閱收費服務，惡意發送收費短信等；

隱私竊取：第三方SDK在用戶不知情的情況下，竊取用戶的通訊錄、短信等個人隱私信息，甚至是未經授權的拍照，錄音等高危敏感行為；

靜默下載：第三方SDK在運行后臺靜默下載、安裝其他惡意APP或木馬病毒的行為；

惡意廣告：第三方SDK可以向用戶推送包含欺詐內容、木馬病毒的連接，干擾用戶正常使用APP；

敲詐勒索：第三方SDK惡意加密用戶手機中的文件，干擾用戶對手機的正常使用，并以恢復為由向用戶敲詐勒索；

虛擬幣挖礦：第三方SDK在用戶不知情的情況下，利用手機的計算能力進行數字虛擬貨幣的獲取，消耗用戶的手機性能資源；

遠程控制：第三方SDK在手機端啟動本地服務器，接收遠程控制端發來的控制指令，隱蔽上述惡意行為。

二、案例取證分析

在某非法控制計算機信息系統案件中，嫌疑人將自己研發的SDK推廣嵌入到其他開發者的APP中。用戶安裝這些APP后，涉案SDK會在手機用戶不知情的情況下，通過網絡與后臺服務器進行連接，并自動訪問服務器端推送的網站，通過提高網站訪問流量實現非法盈利，具體調用流程如圖3 所示。為還原犯罪實施過程，為案件偵辦提供證據支撐，本案重點對涉案APP中的SDK及服務器端進行分析。

（一）SDK程序文件功能的取證分析

對涉案的應用程序SDK文件進行程序功能性分析，獲取到涉案樣本文件名為“XXX.jar”的文件，文件格式為“.jar”，文件大小為“100KB”，SHA256值為“XXX X”，使用“Jadx-gui-1.6.2”反編譯軟件打開該文件進行源碼檢驗。

在程序源碼顯示版本號為“Manifest-Version：1.0”，經前期案件偵辦，重點關注網絡連接行為數據，因此可以通過搜索關鍵字“http”，尋找內置在SDK代碼中與網絡地址相關的數據，如圖4所示。

通過對搜索結果的上下文代碼查看分析，發現SDK具備向服務器發送http請求的行為，同時在發送請求時，確認服務正常并獲取任務數據流。在上傳地址中包含“qid”進行標識，以便服務器能夠確認任務請求的來源，方便后續數據統計。從代碼中也可以看到SDK同時判斷服務器響應的狀態碼，如果狀態碼為200（響應正常），則會判斷“server ok”并繼續進行任務處理，如圖5所示。

通過代碼識別可以了解到，該SDK將獲取的任務流數據存放在列表（List）中，存放數據包括“code”“loglevel”“time”“url”“data”等類型，在該案例中，參數loglevel是指任務的優先等級。在進一步判斷數據長度等情況后，循環執行處理任務流數據，如圖6所示。

程序循環執行過程中，調用“WebView”控件渲染網頁。WebView就是“網絡視圖”，能在APP中直接加載并顯示網頁，可以將其視為一個內置瀏覽器。主要用于展示網絡請求后的內容，包括網絡地址請求的內容。APP如需要訪問網絡，可以不使用手機自帶的瀏覽器，只需使用webView組件即可在APP內部展示網絡頁面。在webview控件后，發現該SDK使用“addJavascriptInterface”等方法處理“Javascript”數據（任務數據）。通過調用“MotionEvent”方法（MotionEvent是手指觸摸屏幕產生的一系列事件）模擬觸摸屏幕滑動動作。利用調用“sleep”實現休眠（sleep方法的作用是在指定的毫秒數內讓當前“正在執行的線程”暫停執行），上傳日志信息，如圖7所示。

（二）服務器控制后臺檢驗

通過攔截SDK與后臺服務器通訊數據，可以發現與其搭配的后臺地址，經對該服務器勘查取證分析，可以發現后臺管理主頁內包含“任務”“基礎數據”“運營數據”“輔助工具”“子項目”“消息推送”“系統相關”等內容。其中“任務”欄目下的顯示狀態為“開啟”的任務有多個，包括名稱為“撞庫（XXX_拉新）”“手機號抓取_初次”“撞庫（XXX_檢測）”“撞庫（XXXX_促活）”“手機號抓取_二次”“撞庫（XXX_拉新_個人）”等任務，同時還對任務的運行數據進行統計。

通過對服務器數據的取證分析，發現在任務數據中，均會加入CNZZ統計鏈接。CNZZ站長統計是專業的實時網站流量統計分析系統，可以幫助網站管理員、運營人員、推廣人員等實時獲取網站流量，并從流量來源、網站內容、網站訪客特性等多個方面提供網站的數據分析服務。從而幫助提高網站流量，提升網站的用戶體驗，讓訪客更多的沉淀下來變成會員或客戶，通過更少的投入獲得最大化的收入。

在對任務名稱為“XXX_拉新”的任務數據進行分析時，發現其入口頁面的url鏈接地址，對“XXX_拉新”的運行代碼段進行分析，發現在訪問上述鏈接后會執行一段代碼，代碼中通過構建某網站的地址參數實現該網站頁面的訪問行為。涉及的賬號參數則存放在后臺地址的代碼中，具體參數包括“id”“sceneCode”“domain”“channel”“partnerId”“weight”等，如圖8中所示。

在取證工作站的瀏覽器中輸入訪問任務地址，發現會自動跳轉到“xxx領紅包”頁面中，并且自動發送包含有PID等參數的鏈接，實現自動申請領紅包的行為，如圖9所示。

通過對SDK和服務器數據的取證分析，可以發現該涉案團伙在未經手機用戶授權的情況下，完成服務器狀態判斷以及任務申請、執行、統計等行為，而所有這些行為都不被手機用戶直觀發現，實現了網站流量暗刷的一系列操作。

三、結語

結合對案例的取證分析，通過在應用程序中植入具有特定功能的SDK，利用網絡和服務器端預先設置好的任務參數，可以實現SDK程序根據代碼邏輯，在手機后臺自動化處理預制任務，實現循環執行訪問頁面完成暗刷流量等行為，從而達到非法獲利的目的。由于這種利用SDK進行違法犯罪的行為往往伴隨正常應用程序的使用而進行，其行為并不會直接體現在手機應用程序界面中，具有隱蔽性強的特點，往往很難被手機用戶發現，另一方面在對此類案件進行偵查取證時，涉及到應用程序逆向分析、代碼功能邏輯分析以及服務器勘查取證等領域的技術，對辦案部門有一定實際操作的技術要求。本文對暗刷流量類的涉案SDK關聯要素進行取證分析研究，為偵辦和打擊此類違法犯罪活動的辦案部門提供相關參考。