勒索软件是指启动后通过设置自己的窗口或重置锁定密码,强行锁定用户桌面,使用户无法正常使用设备,并通过解锁支付的方式对用户进行勒索的软件。近年来,Android平台的勒索病毒因其高危害性、高伪装性和难卸载性,一直是360烽火实验室重点关注的对象。针对勒索病毒善于伪装成特定流行软件进行传播的现象,360烽火实验室对安卓平台上勒索病毒伪装的类别及相关行业进行了持续跟踪分析。在2018年3月初出版的《勒索软件面具系列——无流软件》中,我们已经介绍了勒索软件的一种“面具”——无流软件,并详细阐述了无流行业的现状、原理和危害。最近,我们把目光投向了一个比流媒体免费软件更常见的伪装品类——代理刷机软件(以下简称代理刷机软件)。
一、勒索病毒伪装类别分布
从勒索病毒伪装类别的分布可以看出,勒索病毒伪装类别主要是色情和黑客工具,而在黑客工具中,代理刷类别排名第二,仅次于插件和辅助类别。
二、主流伪装类——代刷软件
伪装成代理软件的勒索软件名称多为“XX代理软件”、“XX代理软件”或“XX业务”。实际操作后会设置特定窗口阻止用户进入桌面,或者申请设备管理器锁屏密码的相关权限,在用户授权后实施锁屏。
伪装成刷机软件的勒索软件
截至2018年3月,360烽火实验室已捕获代理刷机软件超过20万个,其中恶意勒索软件占比57.4%。这些软件打着代理刷机、代理挂机的幌子,诱导用户下载、安装或激活设备管理器,然后通过锁屏的方式勒索用户,对用户的设备和财产安全带造成了严重威胁。
大量伪装成代理软件的勒索软件的传播,充分体现了代理软件有相当大的市场空。事实上,随着近两年移动社交软件和视频直播软件的普及,越来越多的用户开始关注自己的账号等级、权限、粉丝等指标,用少量金钱和时间换取高账号权限等级和高粉丝成为部分用户的强烈需求,代刷软件应运而生并迅速传播。通过对代刷软件的持续跟踪分析,发现代刷软件以其价格低廉、功能齐全、兼容性强、操作简单、效果显著吸引了大量的商家和用户,从商家最初建立网站到用户最终购买已经形成了清晰的产业链。
第二章 代刷软件一、定义和分类
代理软件是指通过特定手段提高特定账号的粉丝数、访问量或挂机时间等量化指标,或者获得特定权限的软件。常见的代刷软件可以分为刷量、刷会员、代挂三种:
1.刷量:即刷起具体账号的量化指标,可以细分为访问量、点赞、评论、转发、粉丝、分享、播放等。
2.刷会员:即针对特定账号刷特权,将普通用户升级为特权用户,以QQ刷钻最常见;
3.代理挂机:即代理挂机,通过获取用户的登录凭证来代替用户的登录挂机。
二。来源
通过对大量安卓代刷软件的分析,发现绝大多数代刷软件都是由Web代刷网站转化而来。目前市场上有很多网站打包工具和平台,如艾德、IAPP、E4A等开发工具,也有变色龙、九维云打包等软件打包平台。利用这些工具或平台,可以很容易地将特定的网站转换成相应的代理软件,转换后的代理软件具有非常相似的文件列表和代码架构。生成软件开发者只需要提供生成接口和不同的软件名称,就可以快速生成多种生成软件。
我们对抓取的代刷软件开发工具进行了统计和分类。从统计结果可以看出,开发工具开发的代刷软件数量远大于Web打包平台打包的数量。在开发工具中,由艾德、IAPP、E4A开发的代刷软件占80%以上,其中艾德是最常用的工具。
简单开发工具和软件打包平台的普及,大大降低了代理软件的开发门槛和成本。在低门槛、低成本的诱惑下,很多代理商家利用代理软件推广自己的代理网站,在移动端和web端“双线”运作,大大提高了盈利效率。
三。实施原则
1.生成画笔软件的画笔量原理
网刷网站的内容和源代码都很简单,基本只包括下单功能和订单处理逻辑。刷量软件本质上和Web刷量网站一样,只是一个为用户提供订购购买功能的订购平台,并不包含实际的刷量逻辑。用户通过代理刷单软件提交订单后,代理刷单软件会将订单请求传输到代理刷单网站,代理刷单网站再在后台进行统一处理,然后将刷单数量请求传输到真正实现代理刷单功能的供应商的代理刷单后台。
2.实际刷量逻辑
供应商代刷后台是代刷逻辑实际实现和代刷业务完成的地方。对于不同类型的代刷业务,在代刷后台会应用不同的代刷原则:
(1)刷单业务。
刷业务通常是通过僵尸账号实现的。刷逻辑开发者通过一定手段获取大量僵尸账号,同时获取官网的赞、粉丝、转发接口,然后在服务器上搭建一套刷系统,控制僵尸账号自动访问指定接口,从而进行自动刷操作。除了使用僵尸账号,还有另外一种刷机方式,就是有刷机需求的用户通过一个共同的平台聚集在一起,这些账号通过人工刷机可以达到真人刷机的目的。现实生活中刷机的代表软件是“Aauto quickers-网络名人联盟”,只支持针对特定应用的刷机。所有的真实用户都使用这个软件,这些真实用户可以通过浏览、欣赏或评论对方来增加对方的看法、喜欢或评论。
(2)刷会员。
刷会员业务通常是通过不当使用运营商的计费机制来实现的。和免流软件的实现原理一样,刷会员的服务也是利用了运营商代理系统和计费检测系统的分离,使得两个分离的系统通过特定的手段使购买结果的处理不同步,从而达到廉价刷会员的目的。以QQ会员为例,这种“特定手段”通常是在淘宝等市场低价购买廉价SIM卡,然后用手机话费钻后在一定时间差内发送注销指令或停机,以干扰扣费结果。这种对运营商扣费结果的干预,会导致运营商代理系统显示与QQ绑定的手机号码购买QQ会员等服务,但在运营商的计费检测系统中没有购买后扣费成功的记录,从而达到免费订购QQ会员的效果。但需要注意的是,这种方式有一个问题——会员身份不能长期维持,开放期最多一个月。相比刷量,刷会员业务的用户承担的风险更大。不仅刷会员时限无法保证,还面临被点名的风险。
(3)代挂。
代理挂机的原理比前两种业务简单,即通过用户的登录凭证登录用户账号,代替用户完成软件挂机。相比前两种业务,代理商家首先要获取用户的登录账号和密码,因此用户必然会面临巨大的账号密码泄露风险。
四。示例
安卓刷机软件只是一个订餐平台,逻辑很简单。以E4A工具开发的一款代刷软件为例,其核心代码如下图所示。代理刷软件会根据用户在下单交互界面中选择的业务类型、商品类型、数量构造一个请求参数串,通过特定的请求接口将请求参数串发送给代理刷网站。
刷网站也是一个订餐平台,交互界面和刷软件很像。代理网站收到代理软件发送的服务请求后,会将服务请求连同请求参数一起发送到代理后台,代理后台会根据请求参数完成代理服务。
一、角色分工
和无流量行业一样,代刷行业也形成了自上而下、层层发散的产业链。从顶级供应商到中间的各个主站、分站,再到最终的消费者,每个角色都有自己的功能和作用,共同维系着整个代刷行业。
1.供应商。供应商作为代理刷的上游,负责为下级主站提供逻辑和业务支持。当收到主站发送的换刷请求时,供应商在自己的换刷后台应用换刷逻辑完成换刷业务,并将业务结果反馈给主站;
2.主站。主站是刷代行业的核心,其上游对接供应商或卡联盟、下游对接分站提供数据存储、建站、订单查询、支付等多种功能。
3.普通变电站。普通子站除了不能建立下级子站之外,功能和主站几乎一样。普通分站有修改网站公告、网站名称、网站logo、商品价格等权限。用户在分站下单成功后,分站管理员可以获得相应的提成;
4.高级变电站。高级变电站是普通变电站的升级版。与普通变电站不同,高级变电站支持下级变电站的开放。用户在高级分站或其下属分站下单成功后,高级分站管理员可以获得佣金。
5.用户。用户作为代刷的最下游,无论是通过代刷软件消费还是Web代刷网站消费,最终都是以购买代刷服务的形式为整个代刷行业的运营提供资金来源。
二。促销和利润
代刷行业是一个非常依赖推广和扩散来盈利的行业。一方面,在商家泛滥的代刷市场,推广程度会影响商家的知名度,而知名度又会直接影响用户数量;另一方面,主站和高级分站将从下级分站的收入中提取。主站和高级分站铺开的下级分站越多,收入越高。刷机行业也是一种“一本万利”的行业。一个特定的网站只要维护好,就可以持续推广盈利。
1.推广模式
代刷行业的推广呈现从主站向底层逐层扩散的结构,这是由代刷行业“上层吃下层返利”的盈利模式决定的。首先,主站的运营者为了盈利,会通过QQ群、论坛、贴吧等发布自己的网站或软件进行线上推广。用户可以在这些网站下免费或低价设置高级变电站,成为高级变电站管理员。为了获取更多的利益,高级分站管理员还会通过网上发布的方式来推广自己的分站,以此来吸引用户购买网上刷的服务或者在自己的分站下建立低级分站。低级子站将直接与在线发布服务的消费者连接。在这种模式下,网站的子站数和用户数越高,网站的收入越高。
2.收益性
代刷服务以其低廉的价格吸引了大量用户。代刷其实走的是“薄利多销”的路线。此外,代刷网站或软件的开发维护成本极低,一个热门的代刷主站利润往往很可观。通过对几个热门主站和分站的长期跟踪,我们对一些网站的盈利情况进行了梳理和总结。从图中可以看出,主站日均利润从几十元到几千元不等,差距非常悬殊。主机名为“qqdzz.com”的主站日均收入最高,运营天数不到一年,累计交易量达到百万以上。
销售价格可以在分站定制。但由于子商家数量多,且相互之间有价格约束,所以子商家的价格不会有大的波动,而且很低,所以一直在吸引用户购买。这种“各取所需,互利共赢”的模式,使得代刷行业从诞生到现在经久不衰。也正因为如此,勒索软件的作者将矛头指向这片“沃土”,以加快勒索软件的传播速度,扩大其感染范围。
三。用户组分析
通过对顶代刷QQ群成员分布的分析发现,关注代刷行业的人群普遍年轻化,其中00、90后占据半壁江山。虽然主站和高级分站会拿普通分站的提成,最后普通分站的利润会大打折扣,但是相对于很多传统的盈利渠道来说,在刷单分站建立刷单服务销售的盈利渠道成本低,耗时少,风险小,所以这种业余的盈利渠道受到了很多初中生和大学生的追捧。
另外,在网刷网站上购买了某知名直播平台的粉丝服务,大大增加了粉丝数量后,我们观察了这些“被买”的粉丝和他们粉的人。这些“被买”的粉丝关注了很多其他用户以及买家,包括一些在直播平台排名靠前的主播,可见一些热门直播平台的大主播也有“买粉”的嫌疑。随着网络社交和直播平台的普及,很多用户出于紧跟竞争或扩大知名度和影响力的原因,可能会急于追求高粉丝基数、高评论数等量化指标,刷量服务成为了他们的不二选择。
四。相似的平台架构
通过对几个热门网站的分析,发现这些网站虽然网址不同,但内容和功能都差不多。抓取这些网站的包的结果显示,它们的组织结构、网络请求、返回值字段大体相似。比如注册分站的URL都包含一个共同的路径(/user/reg.php),获取QQ的请求URL也一般相同。
通过进一步分析从网络上随机获取的建站源代码中包含的注册分站和获取QQ talk的代码,发现源代码结构和代码功能与这些网站非常相似。基本上可以判断市面上大部分网站都在使用同一套建站源码。通过这套源代码,建站者只需要拥有自己的主机和域名就可以轻松建站,容量需求和成本极低。刷单行业因为成本低,门槛低,吸引了很多兼职者加入其中。
五.加速流动性
如今,移动互联网的发展势头正逐渐超越传统互联网。面对移动互联网这块“肥肉”,代刷行业的脚步并没有停止,代刷的主战场也逐渐从Web平台转移到了移动代刷软件。从2015年开始,安卓一代刷机软件开始批量出现并逐渐增多,近年来增长趋势呈逐年上升趋势。仅2017年,新一代刷机软件数量超过15万,是2016年总量的3.1倍,2015年总量的35.6倍。
近年来,随着各种网络转手机软件厂商的增多,生成一个手机软件的成本几乎为零。代理刷机软件的流行给代理刷机行业带来了又一个春天,但与此同时,代理刷机市场鱼龙混杂,一些不法分子打着代理刷机的旗号传播盗号、敲诈等恶意软件,给用户带来了巨大的经济损失。
第四章 代刷软件的危害首先,隐藏“谋杀”代表画笔
目前存在大量危险的假冒代刷软件,打着代刷的旗号,在用户安装后实施敲诈、黑客等恶意行为,给用户的隐私和财产安全带来严重隐患。
1.锁机勒索
我们捕获的软件有一半以上是恶意锁屏勒索软件。用户在下载安装代理软件时,很有可能会被勒索病毒钩住。但由于代理软件本身并不是一个合规的软件,这些受害者在被勒索锁屏后,很可能会选择妥协,主动付费解锁,这进一步助长了勒索软件开发者的嚣张气焰和利用用户侥幸心理实施犯罪的行为。
2.账号和密码被盗,通讯录被盗。
账户和密码被盗大多发生在IAPP、AIDE等工具开发的恶意代理软件中。这类软件最明显的特点就是软件启动后出现账号和密码输入界面,通过代理刷诱导用户输入账号和密码。一旦用户点击确认登录按钮,输入的登录信息将通过短信或网络发送到指定的手机或服务器。这类软件属于欺诈盗号木马,实际上没有代用户刷卡的功能。用户不仅达不到代用户刷卡的目的,反而会导致自己的账号密码被盗。
除了窃取用户登录凭据,恶意代理软件还“热衷”窃取用户的短信、联系人、通话记录等隐私信息。这类软件一旦安装后,会自动获取用户的短信、联系人、通话记录等信息,并通过各种手段(短信、邮件、网络)上传到远程服务器,而且大多数情况下,这些软件会在首次启动后自动隐藏桌面图标,使用户无法正常感知和卸载,从而达到长期潜伏、持续作恶的目的。
3.变相欺诈
由于技术落后、端口被封锁等原因,部分代刷软件无法实现正常的代刷功能,但其运营商仍在广泛推广和销售这种代刷服务,用户充值后无法实现代刷,充值的钱无法返还。这种变相诈骗防不胜防,对用户财产安全构成严重威胁。
二。统一治理
2018年1月,北京市网信办统一管理网络热搜榜和热门话题榜。约谈相关负责人后,2月2日,《微博信息服务管理规定》发布,开始对微博信息服务进行更加严格的监督管理。
刷榜制造的虚假信息扰乱社会秩序,损害公共利益,扭曲社会道德风尚,有的甚至带来直接经济损失。代理软件作为一种刷榜工具,亟待管理,给大众一个真实公平的网络空。
总结代刷本身就是一个游离于体制边缘的行业。Daishua用户是抱着侥幸心理或者虚荣心在尝试。恶意软件开发者就是利用用户的这种心理,来传播模仿软件进行刷机的恶意软件。任意下载、安装和使用代理软件可能会给用户带来不可预知的风险。为此,用户应注意:
1.尽量避免使用不合规的软件;
2.尽量在正规应用市场下载应用,不要轻易安装各种聊天群或论坛软件;
3.谨慎授予软件设备经理等高风险权限;
4.安装安全防护软件,及时识别恶意应用,确保设备和财产安全;
5.一旦手机中毒,请及时联系手机安全厂商,将损失降到最低。
作者:360烽火实验室
